590 - ¿Cómo es el procedimiento para la gestión de riesgos en materia de protección de datos en un despacho de abogados o procuradores?

Respecto a la gestión de riesgos en la abogacía y la procura, han de destacarse una serie de conceptos que se extraen del propio RGPD y que deben asimilarse a las funciones como abogado y procurador en calidad de responsable o encargado en el tratamiento de datos.

Así, el considerando (74) del RGPD (y se redacta el artículo 24 del RGPD en ese mismo sentido) indica que:

«Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas».

Y continúa el considerando (83) del RGPD:

«A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse (...)».

En base a lo anterior, el artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:

• El estado de la técnica.
• Los costes de aplicación.
• La naturaleza.
• El alcance.
• El contexto.
• Los fines del tratamiento.
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Y en ese mismo precepto del reglamento indica que tales medidas deben incluir, entre otros:

• La seudonimización y el cifrado de datos personales. La seudonimización consiste en el tratamiento de datos personales cuya atribución a un interesado requiera de información adicional que figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Añadiendo el apartado 2, del artículo 32, del RGPD que:

«Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Hablamos en el caso anterior de «violación de la seguridad de los datos personales» que define el artículo 4, apartado 12, del RGPD como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

CUESTIÓN

Dentro de las medidas que indica el artículo 32 del RGPD, ¿cómo pueden relacionarse con la actividad de un profesional como un abogado o procurador?

Del funcionamiento normal en un despacho de abogados o procuradores, respecto al tratamiento de datos personales algunos de los riesgos habituales que pueden concurrir son:

- El traspapele de informes, que supone el riesgo de vulneración de la protección de datos personales ya que afecta a la disponibilidad de datos y su integridad.

- La concurrencia de diferentes personas, como profesionales del despacho y otro personal laboral y su acceso a los diferentes datos personales de los clientes, viéndose afectado así la confidencialidad de los mismos. 

- El intento de destrucción de informes sobre casos del despacho.

En conclusión, la gestión y evaluación de riesgos se trata de una fase previa a la EIPD que servirá para identificar las amenazas que se proyectan sobre los datos de los interesados y así poder diseñar e implementar una respuesta adecuada sobre ellos. Es decir, ayudará a encontrar las medidas de seguridad y control que se necesitan para cumplir con lo dispuesto en la normativa y reducir la amenaza a un nivel aceptable para la entidad.

A TENER EN CUENTA. El artículo 32, en sus apartados 3 y 4, del RGPD establece que la adhesión a un código de conducta aprobado a tenor del artículo 40 del RGPD o a un mecanismo de certificación aprobado a tenor del artículo 42 del RGPD puede servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del artículo 32 del RGPD.

Así mismo, establece que el responsable y el encargado del tratamiento deberán tomar medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del derecho de la Unión o de los Estados miembros.