Inicio
Protección de datos
Marginales
Procedimiento de aplicación de la normativa de protección de datos por parte de abogados y procuradores
Inicio
Protección de datos
Marginales
Procedimiento de aplicaci...ocuradores
Ver Indice
»

Última revisión
12/09/2023

datos

970 - Procedimiento de aplicación de la normativa de protección de datos por parte de abogados y procuradores

Tiempo de lectura: 7 min

Tiempo de lectura: 7 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 11/09/2023

Resumen:

El RGPD y la LOPDGDD regulan la protección de datos y los abogados y procuradores han de adaptarse a las mismas para un correcto desempeño de sus funciones. El responsable del tratamiento de datos en el sector de la abogacía y la procura es el mismo que en el ámbito general, y es preciso que desarrolle funciones como el cumplimiento de dichas normas, aplicar políticas de protección de datos, llevar un registro de actividades de tratamiento, realizar análisis de riesgos, etc.

Los abogados y procuradores pueden manejar diferentes tipologías de datos personales en función de la especialización de sus respectivos despachos o, en su defecto, por la propia naturaleza de sus clientes. Por todo ello, deben aplicar y cumplir lo contenido en las diferentes normas de protección de datos.

La naturaleza de las profesiones de la abogacía y la procura requiere el conocimiento de datos personales de sus clientes para un desempeño correcto de sus funciones (direcciones, datos de pagos...), es decir, se produce un tratamiento de datos de carácter personal y, por tanto, ha de producirse una adaptación a la normativa comunitaria y estatal que regula esta materia (RGPD y LOPDGDD).

En el año de entrada en vigor del RGPD (2016), el propio Consejo General de la Abogacía afirmó que «se trata de una norma que —aunque ha tenido un plazo de dos años para su aplicación— supone una revolución para sectores como la abogacía. Con este especial se pretende reforzar la cultura de protección de datos especialmente sensibles que se manejan a diario en los despachos de abogados y en las instituciones de la Abogacía».

Así también, la evolución digital que rige la sociedad y las relaciones tanto interpersonales como profesionales suponen, a su vez, un tráfico más fluido de datos personales y, con ello, importantes riesgos que pueden vulnerar su protección. 

Lo que ha de blindarse es la protección de datos personales, derecho fundamental derivado del artículo 18, apartado 4, de la CE y que como indica el propio CGAE en su publicación «Abogacía y protección de datos: elementos clave para su cumplimiento», por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos: «el derecho fundamental a la protección de datos personales, derivado del artículo 18.4 de la Constitución, no sólo constituye un ámbito de especialización del derecho al que se dedican, o pueden dedicarse, los abogados en la prestación de sus servicios a los clientes, sino que, sea cual sea la materia a la que se dedican profesionalmente, lo han de observar y garantizar como sujetos obligados en sus relaciones profesionales con clientes, empleados, instituciones y organismos públicos».

Responsable del tratamiento de datos

En cuanto al responsable del tratamiento de datos, destacar lo siguiente:

1. En el tratamiento de datos, al margen del sector en que nos encontremos, ¿quién puede ser el responsable?

Como bien indica el artículo 4, apartado 7, del RGPD, el responsable del tratamiento es la «persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».

2. En el sector de la abogacía y la procura, ¿quién será el responsable del tratamiento?

La respuesta a esta cuestión la encontramos en el Informe 2012 de la Comisión jurídica del CGAE que dispone que deben distinguirse los siguientes supuestos:

  • Abogado que ejerce individualmente.
  • Abogado integrado en un despacho para el que presta sus servicios.
  • Abogado que ejerce individualmente pero en el marco de algún tipo de colaboración consistente en la participación en gastos de un despacho compartido con gestión administrativa única.
  • Abogado colegiado en España pero que presta sus servicios en un país extranjero. 
  • Abogado que ejerce como árbitro único. 
  • Abogado que forma parte de un colegio arbitral. 
  • Institución arbitral.

Esta clasificación es importante en orden a determinar quién ostenta la condición de responsable del fichero o tratamiento y quién la de encargado, pues el régimen de la determinación del plazo de conservación de los datos de carácter personal es diverso.

Profundizando en cada supuesto y acudiendo también al CGAE, cabe destacar:

  • Ejercicio individual (art. 35 del EGAE). En este tipo de ejercicio, el profesional de la abogacía responde profesionalmente frente a sus clientes de las actuaciones que realicen los profesionales de la abogacía que integren el despacho, sin perjuicio de la facultad de repetir frente a estos. Si se da el ejercicio individual se deduce que el responsable del tratamiento es el abogado titular del despacho individual.
  • Colaboración (art. 36 del EGAE) y colaboración multiprofesional (art. 43 del EGAE). La colaboración multiprofesional implica la asociación de estos profesionales bajo cualquier forma lícita en derecho. Ahí surgen las sociedades mercantiles y, en conclusión, las responsables del tratamiento para estos casos. 
  • Por cuenta ajena (arts. 37 a 39 del EGAE). Podrá ser en régimen de relación laboral especial o común, respetando la libertad, independencia y secreto profesional de la profesión. En estos casos, el responsable del tratamiento es la entidad o empresa para la que el abogado presta sus servicios. 
  • Ejercicio colectivo (art. 40 del EGAE). Deberá hacerse una interpretación del artículo 5, apartado 2, de la Ley 2/2007, de Sociedades Profesionales que indica que las obligaciones de la actividad profesional desarrolladas se imputarán a la sociedad, sin perjuicio de la responsabilidad personal de los profesionales en cuanto a deudas sociales, que indica el artículo 11 de la citada ley:
    • Sociedades profesionales (art. 41 del EGAE).
    • Ejercicio colectivo en forma no societaria (art. 42 del EGAE).

3. Funciones del responsable del tratamiento de datos

  • Atender al ejercicio de los derechos de los interesados.
  • Cumplir el RGPD y demostrarlo como ordena el artículo 24 del RGPD (en caso contrario puede originar responsabilidad conforme a los artículos 83 del reglamento y 72 de la ley). Como indica el artículo 28, apartado 1, de la LOPDGDD, conforme a los elementos enumerados en los artículos 24 y 25 del RGPD, el responsable determina las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el referido reglamento, con la LOPDGDD, con sus normas de desarrollo y la legislación sectorial aplicable.
  • Aplicar las políticas de protección de datos, siempre que sean proporcionadas en relación con las actividades de tratamiento.
  • Llevar un registro de actividades de tratamiento (art. 30 del RGPD y art. 31 de la LOPDGDD).
  • Realizar de correspondiente análisis de riesgos y adopción de las medidas de seguridad (artículo 32 del RGPD).
  • Realizar a EIPD, cuando proceda, conforme al artículo 35 del RGPD y artículo 28 de la LOPDGDD.
  • Valorar si procede la consulta previa que se regula en el artículo 36 del RGPD.
  • Comunicar las brechas de seguridad a la autoridad de control y, en su caso, a los afectados (artículos 33 y 34 del RGPD), o comunicar la designación de un delegado de protección de datos —DPD— a la autoridad competente (artículos 37 a 39 del RGPD y 34 a 37 de la LOPDGDD).

CUESTIÓN

¿Existe diferencias entre responsable y/o encargado del tratamiento de los datos personales?

El artículo 4, apartados 7 y 8, del RGPD, los define y marca la diferenciación entre ambos sujetos. Así, como ya se ha expuesto, el responsable determina los fines y medios del tratamiento y el encargado trata los datos por cuenta del primero, es decir, del responsable del tratamiento. 

Asimilando estos conceptos al sector de la abogacía y la procura, podemos decir que:

- Responsable del tratamiento: actuaremos como tal en el marco de la prestación de servicios a los clientes, así como en el tratamiento de datos de nuestros colaboradores y empleados del despacho.

- Encargado del tratamiento: en el marco de la prestación de servicios a los clientes, tratamos datos personales que son responsabilidad de los clientes. Es decir, el responsable es el cliente y yo actúo como encargado por cuenta del primero. 

¿Qué es el canal prioritario? 

Se trata de una de las iniciativas de la AEPD con la finalidad de ofrecer a personas un mecanismo para proteger sus derechos y libertades fundamentales en la utilización de sus datos personales, como son las imágenes o audios en redes sociales u otros servicios de internet.

Así, el canal prioritario se configura como un fast track o vía rápida, para dar una solución pronta ante situaciones excepcionalmente delicadas que así lo requieren, a fin de evitar que la difusión de imágenes o audios de carácter sexual, violento, humillantes o degradante produzca o agrave los daños si se mantiene esa difusión, perjuicios que resultan de difícil o imposible reparación. Es la denominada violencia digital que afecta, en su gran mayoría, a mujeres, menores de edad y colectivos más vulnerables. 

AEPD y CGAE firmaron un protocolo general de actuación que, entre sus objetivos, establece que los abogados deben conocer este canal para así informar y asesorar, cuando sea el caso, a sus clientes sobre la existencia de esta vía de solución rápida.