ABOGACÍA Y PROTECCIÓN DATOS

El derecho fundamental a la protección de datos personales, derivado del artículo 18.4 de la Constitución, no sólo constituye un ámbito de especialización del derecho al que se dedican, o pueden dedicarse, los abogados en la prestación de sus servicios a los clientes, sino que, sea cual sea la materia a la que se dedican profesionalmente, lo han de observar y garantizar como sujetos obligados en sus relaciones profesionales con clientes, empleados, instituciones y organismos públicos.

Para los profesionales que se dedican al asesoramiento en esta materia lo que aquí vamos a exponer les resultará conocido, si bien lo que persigue es hacer llegar los elementos clave que les permitan el cumplimiento de la normativa de protección de datos en el ejercicio de su profesión.

Para ello hay que partir de que la regulación actual, que ha sustituido a la Directiva 95/46/CE, a la Ley Orgánica de Protección de Datos de 1999 (LOPD) y a su Reglamento de aplicación de 2007, incorpora un nuevo modelo de cumplimiento que ha pasado del control por la autoridad de supervisión al de responsabilidad proactiva, que descansa en la obligación del responsable o encargado del tratamiento de los datos no sólo de cumplirla, sino de poder demostrar ese cumplimiento, que exige la adopción de las medidas técnicas y organizativas que procedan en atención a la naturaleza, ámbito, contexto, fines que se persiguen con el tratamiento y los riesgos que puede implicar para los derechos y libertades de los afectados.

Este principio de proactividad, junto con el análisis de los riesgos, inspira tanto el Reglamento (UE) 679/2016, Reglamento general de protección de datos, o RGPD como la Ley Orgánica 3/2018, de 5 de diciembre, de protección de los derechos personales y garantía de los derechos digitales

El RGPD, que perseguía el objetivo de la aplicación uniforme de la normativa de protección de datos en todos los Estados miembros de la UE, lo que no había sido posible con la Directiva, ha obligado a responsables y encargados a adecuar sus procesos de tratamiento de datos personales sobre la base de los principios mencionados.

Pero antes de entrar en lo que implica este cambio de modelo de cumplimiento, resulta oportuna una referencia a los cambios que el RGPD ha introducido en los elementos básicos que configuran el derecho a la protección de datos, como los principios del tratamiento de los datos (artículo 5 del RGPD), la licitud de su tratamiento (artículo 6.1 y 9 del RGPD) y los derechos de los titulares de los datos (artículos 12 a 22 del RGPD), cuyo cumplimiento han de observar los sujetos obligados. Estos tres aspectos del derecho a la protección de datos, que proceden de la normativa anterior, han sufrido ciertas modificaciones que hay que tener presente en el cumplimiento proactivo del RGPD.

Los principios de la Directiva 95/46 y la Ley Orgánica 5/1999, de Protección de Datos se mantienen, lo que el RGPD hace es precisarlos, como el principio de minimización de datos, en el que la exigencia de no recabar datos excesivos para la finalidad que justifica el tratamiento se ha limitado a la recogida de los datos necesarios, o añadiendo la transparencia al principio de licitud y lealtad del tratamiento.
LICITUD DEL TRATAMIENTO

Entre estos principios se encuentra, como se ha señalado, el de la licitud del tratamiento, lo que nos lleva a las causas de licitud que se recogen en el artículo 6.1 del RGPD. Sobre esta cuestión, esencial en materia de protección de datos, hay que destacar el cambio que afecta significativamente a un amplio sector de tratamientos de datos, al establecer un número clausus de causas que legitiman el tratamiento, pero sin ninguna prelación entre ellas.

Mientras que la LOPD establecía el consentimiento de los interesados, incluido el consentimiento tácito, como el elemento central de la licitud del tratamiento de datos personales para después establecer, como una suerte de excepción, los supuestos en los que también era lícito el tratamiento sin necesidad del consentimiento, el RGPD relaciona los 6 motivos que lo legitiman sin prioridad ninguna, por lo que las bases jurídicas del tratamiento distintas del consentimiento no son subsidiarias ante su falta.

El consentimiento, que en todo caso ha de ser expreso cuando no explícito si hablamos de categorías especiales de datos, ha dejado de ocupar ese lugar prioritario que llevaba a que en la práctica se solicitase a los interesados, incluso cuando era de aplicación una legitimación distinta del consentimiento. De ahí que desde la Agencia se haya recordado que cuando proceda una causa de licitud distinta del consentimiento, ésta es la que se debe aplicar, y valorando como alternativa el interés legítimo del responsable cuando se den los requisitos para ello y previa ponderación con los derechos y libertades de los interesados.

En cuanto a los derechos de los interesados, éstos se han visto ampliados con el derecho a la limitación del tratamiento de sus datos, a la portabilidad, y a no ser objeto de una decisión automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte de una manera significativamente de modo similar.

Mención especial merece el derecho a la información configurado como tal en aplicación del principio de transparencia que rige el tratamiento de los datos personales, lo que obliga a que sea cual sea la causa de legitimación para el tratamiento de los datos se tiene la obligación de informar a los interesados con arreglo a lo establecido en los artículos 13 y 14 del RGPD, que con la finalidad de hacerla más accesible se puede proporcionar con arreglo a lo dispuesto en el artículo 11 de la LOPDPGDD.

Están exentos de la obligación de informar los responsables que hayan obtenido los datos de terceros y tengan un carácter confidencial sobre la base de una obligación de secreto profesional, regulada por el Derecho de la UE o de un Estado miembro, incluida una obligación de secreto de naturaleza estatutaria.

Respecto de los demás derechos, los responsables del tratamiento han de atender el ejercicio de estos derechos, aun cuando no procedan, dando la correspondiente respuesta en el plazo de un mes que, en caso necesario y debido a la complejidad y al número de solicitudes, podrá prorrogarse por dos meses más, de lo que el responsable deberá informar al interesado en el plazo del mes después de recibir su solicitud (artículos 15 a 22 RGPD y 12 18 LOPDPGDD).

Los responsables del tratamiento no sólo han de cumplir el RGPD, sino que han de poder demostrarlo, obligación cuyo incumplimiento puede originar responsabilidad (artículos 83.5.a RGPD y 72.1.a LOPDPGDD).

Para ello el propio RGPD establece una serie de medidas de cumplimiento que van desde la llevanza de un registro de actividades de tratamiento (artículos 30 RGPD y 31 LOPDGDD), la realización del correspondiente análisis de riesgos y adopción de las medidas de seguridad (artículo 32 RGPD), en su caso de una evaluación de impacto (artículo 35 RGPD), la obligación de comunicar las brechas de seguridad a la autoridad de control y, en su caso, a los afectados (artículos 33 y 34 RGPD), o la designación de un delegado de protección de datos -DPD- (artículos 37 a 39 RGPD y 34 a 37 LOPDPGDD).

Mención especial merece la figura del DPD que el RGPD establece como obligatoria cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o cuando consistan en el tratamiento a gran escala de categorías especiales de datos personales, aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física; y de datos relativos a condenas e infracciones penales que, aunque su tratamiento, conforme al artículo 10 de la LOPDPGDD, está reservado a responsables de los órganos competentes para la instrucción de procedimientos sancionadores o a supuestos autorizados por Ley o contando con el consentimiento de los interesados, el propio artículo incluye que será posible su tratamiento por Abogados cuando tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

El DPD es una figura a la que el RGPD atribuye un papel fundamental dentro del modelo de responsabilidad activa que establece, por lo que resulta fundamental que su designación descanse en una persona que reúna los requisitos de cualificación y de capacidad que exige el RGPD.

De la obligatoriedad de designar un DPD estarían exentos los abogados que ejerzan su actividad a título individual[1], si bien resultaría recomendable que las corporaciones profesionales, que como tales están obligadas a contar con un DPD (artículo 34.1.a LOPDPGDD), pudieran ofrecer estos servicios de forma voluntaria a quienes no estén obligados a disponer de esta figura, de manera que les sirviera de ayuda para el cumplimiento de la normativa aplicable.

CANAL PRIORITARIO

Quisiera, así mismo, a una de las iniciativas de la Agencia Española de Protección de Datos: el Canal Prioritario, puesto en marcha el pasado mes de septiembre, con la finalidad de ofrecer a las personas un mecanismo para proteger sus derechos y libertades fundamentales en la utilización de sus datos personales, como imágenes o audios, en redes sociales, y otros servicios y aplicaciones de internet.

La imagen como el sonido, cuando permiten identificar a una persona, constituyen un dato de carácter personal, por lo que el Canal Prioritario se configura como una vía rápida (fast track) para aquellas situaciones excepcionalmente delicadas que requieren una solución rápida para evitar que la difusión de las imágenes o audios de carácter sexual, violento, humillantes o degradante produzca, o agrave los daños y perjuicios si se mantiene esa difusión, que son de difícil reparación cuando no imposible. Se trata de situaciones de violencia digital que afectan en su gran mayoría a mujeres, menores de edad y a los colectivos más expuestos a situaciones de vulnerabilidad.

Para dar a conocer este medio la Agencia Española de Protección de datos y el Consejo General de la Abogacía Española firmaron un protocolo general de actuación que, entre sus objetivos, contempla el conocimiento de esta vía por parte de los Abogados con la finalidad de que puedan informar y asesorar sobre su existencia con ocasión de los casos que conozcan y pueda proceder.

(Tomado de: Julián Prieto Hergueta), en Consejo General Abogacía Española 
https://www.abogacia.es/actualidad/opinion-y-analisis/abogacia-y-proteccion-de-datos-elementos-clave-para-su-cumplimiento/)

Los abogados tratan datos diferentes: identificativos, profesionales, educativos, financieros, así como datos especialmente protegidos (penales, salud, orientación sexual, origen étnico), por lo que deben cumplir con la Ley Orgánica de Protección de Datos, de 2018, que incluye entre otras la obligatoriedad de inscribir los ficheros de tratamiento en la AEPD.  El RGPD introdujo varias novedades, como el consentimiento expreso, el registro de actividades, el análisis de riesgo y la evaluación de impacto o la figura del Delegado de Protección de Datos (DPO), entre otras. Así como endureció el régimen sancionador (por infracción grave la sanción es de 10 M euros o el 2% de la facturación; y para infracciones muy graves 20 M euros o el 4% de la facturación), elevando las cuantías de las multas por infracciones en materia de protección de datos. El RGPD también es el que estableció las dos categorías de datos personales actuales: generales y especialmente protegidos.

Los abogados son responsables del tratamiento de prestación de servicios al cliente o datos de los empleados, y son encargados del tratamiento de datos personales de los clientes, por ser responsabilidad de los clientes.

El abogado debe:
  • Registro de actividades de tratamiento empresas más de 250 empleados o tratamientos habituales especiales (en el caso de los despachos de abogados por riesgo derechos y libertades de los clientes, y datos personales categorías especiales o naturaleza penal) a disposición autoridad control
    • Nombre y datos contacto responsable tratamiento, encargado tratamiento y delegado protección datos DPO
    • Legitimación tratamiento
    • Fines del tratamiento (asesoramiento y defensa jurídica, recursos humanos y laborales, económica y fiscal, blog y web, asesoría y gestoría empresas, confección nóminas, colaboración con otros abogados)
    • Descripción categorías datos personales e interesados (imágenes, datos numéricos, antecedentes penales, edades, situación matrimonial, situación patrimonial)
    • Descripción categorías destinatarios datos (existentes y previstos)
    • Posibles transferencias internacionales fuera UE
    • Plazo conservación datos, mínimo imprescindible para alcanzar la finalidad con que fueron recabados, facturas cinco años
    • Descripción medidas seguridad implantadas, como pseudonimización y cifrado de datos personales, capacidad garantizar confidencialidad y autorización acceso / integridad y no alteración / disponibilidad y resiliencia sistema tratamiento, capacidad restaurar disponibilidad y acceso a datos ante un incidente físico, proceso verificación y valoración regular medidas
  • Análisis de riesgos para los derechos y libertades clientes, materialización amenaza e impacto que puede tener en cliientes
    • Tipo de tratamiento
    • Categoría datos tratados (personales, especiales)
    • Sistema recogida y almacenamiento
    • Acceso a datos
    • Interesados
    • Cesión datos a terceros previa firma contrato, por ejemplo si abogado contrata a un perito que tendrá acceso a datos personales cliente, o si se contrata servicio prevención riesgos laborales que tendrá acceso a datos empleados
  • Realizar una evaluación de impacto si nivel de riesgo es alto, si se elaboran perfiles personas, decisiones automatizadas sin control cliente, monitorización persona, datos especialmente protegidos penales o fiscales, datos biométricos, gran escala, colectivos vulnerables o en riesgo de exclusión social como menores 14 años o víctimas violencia de género
    • Nuevo análisis riesgo centrado en el impacto negativo que tratamiento de datos personales puede tener sobre libertades y derechos de los clientes
    • Minimiza posibilidad materialización de riesgos
    • Determinar medida seguridad para garantizar confidencialidad información
    • Descripción tratamiento
    • Base legitimación
    • Análisis tratamiento
    • Medidas reducir riesgos
    • Plan actuación
    • Conclusiones y recomendaciones
  • Auditorías periódicas protección datos cumplimiento normativa y eficacia medidas seguridad
  • Consentimiento de los clientes informando de responsable tratamiento, finalidad, si datos se cederán a terceros, y como ejercer derechos ARCO, en hoja de encargo
  • Contratos con empleados y terceros, acuerdos confidencialidad o incluir claúsulas confidencialidad en contratos
  • Notificar brechas de seguridad en 72 h a AEPD, así como a usuarios
  • Incluir textos legales en la página web
    • Aviso legal identificación propietario, NIF, dirección, e-mail y nº colegiado
    • Política privacidad (protección datos) tratamiento datos solicitados, finalidad, destinatario, identidad y dirección responsable tratamiento datos, posibilidad ejercer derechos
    • Política de cookies: las que se generan en la web, finalidad, duración, pertenencia a terceros
  • Derechos de los usuarios
  • Nombrar un Delegado de protección de datos, no siempre es necesario, sí cuando se trabaje con gran volumen de datos, puede estar en plantilla, o externos, los Colegios de Abogados sí requieren contar con un DPO


Prevalece el derecho a la defensa del cliente frente a los derechos de protección de datos de la parte contraria o contraparte:  No hace falta consentimiento para tratar datos de la contraparte.  El secreto profesional impide conceder el acceso a la contraparte a los datos que se tratan de ella o a otros interesados de los que el abogado haya conocido en el ejercicio de su actividad en el ejercicio del derecho de defensa. En aquellos supuestos en los que se estén tratando datos personales relativos a la contraparte en un proceso judicial, el abogado debe atender el ejercicio de los derechos de acceso y cancelación. Si bien esos ejercicios de derechos deben ser desestimados por el abogado, de acuerdo con dicha prevalencia del derecho de defensa y el secreto profesional que contribuye a su realización.

Comentarios

Publicar un comentario

Entradas populares de este blog

RD 135/2021 ESTATUTO GENERAL ABOGACÍA TERCERA PARTE

Artículo 50. Aceptación y renuncia de encargos profesionales .  1. El profesional de la Abogacía tendrá plena libertad para aceptar o rechazar la dirección de cualquier asunto que le sea encomendado.  2. El profesional de la Abogacía podrá cesar en su intervención profesional cuando surjan discrepancias con su cliente y deberá hacerlo cuando concurran circunstancias que afecten a su independencia y libertad en la defensa o al deber de secreto profesional.  3. El profesional de la Abogacía podrá renunciar a la defensa procesal que le haya sido confiada en cualquier fase del procedimiento, siempre que no se cause indefensión al cliente, estando obligado a despachar los trámites procesales urgentes.  El profesional de la Abogacía comunicará su renuncia por escrito dirigido al cliente y, en su caso, al órgano judicial o administrativo ante el que hubiere comparecido y deberá proporcionar al compañero que se haga cargo del asunto y que se lo requiera todos los datos e inf...
Leer más

CÓDIGO DEONTÓLOGICO ABOGACÍA SEGUNDA PARTE

Artículo 10. Relaciones con los Tribunales   1. El deber fundamental de quien ejerce la Abogacía, como actor en la función pública de la Administración de Justicia, es participar en ella asesorando, conciliando y defendiendo en derecho los intereses que le sean confiados. En ningún caso la tutela de tales intereses puede justificar la desviación del fin de justicia al que la profesión se halla vinculada.  2. Son obligaciones para con los órganos jurisdiccionales:  a. Actuar con buena fe, lealtad y respeto.  b. Cumplir con los fines de la Administración de Justicia.  c. Guardar respeto a todos cuantos intervienen en la Administración de Justicia exigiendo a la vez el mismo y recíproco comportamiento.  d. Exhortar a los clientes a la observancia de conducta respetuosa respecto de las personas que actúan en los órganos jurisdiccionales.  e. Contribuir a la diligente tramitación de los asuntos que se le encomienden y de los procedimientos en los que se int...
Leer más

LEY DEMARCACIÓN Y PLANTA PARTE PRIMERA

Ley 38/1988, de 28 de diciembre, de Demarcación y de Planta Judicial (BOE de 30 de diciembre) TÍTULO I De la demarcación judicial  CAPÍTULO I Circunscripción territorial de los órganos judiciales  Artículo 1 .  El Tribunal Supremo, la Audiencia Nacional, los Juzgados Centrales de Instrucción, los Juzgados Centrales de lo Penal, los Juzgados Centrales de lo Contencioso-administrativo, los Juzgados Centrales de Vigilancia Penitenciaria y el Juzgado Central de Menores tienen jurisdicción en toda España.  Artículo 2 .  1. Los Tribunales Superiores de Justicia tienen jurisdicción en el ámbito territorial de su respectiva Comunidad Autónoma.  2. Tienen jurisdicción limitada a las provincias de Cádiz, Córdoba, Huelva y Sevilla las Salas de lo Contencioso-Administrativo y de lo Social del Tribunal Superior de Justicia de Andalucía que tienen su sede en Sevilla; y a las provincias de Almería, Granada y Jaén las que tienen su sede en Granada. Las Salas de lo Contenc...
Leer más