¿Cómo se integra la LOPDG...y procura?
Ver Indice
»

Última revisión
30/09/2024

abogacia

440 - ¿Cómo se integra la LOPDGDD en el sector de la abogacía y procura?

Tiempo de lectura: 7 min

Tiempo de lectura: 7 min

Relacionados:

Vademecum: abogacia

Fecha última revisión: 30/09/2024

Resumen:

La naturaleza de las profesiones de la abogacía y la procura requiere el conocimiento de datos personales de sus clientes para un desempeño correcto de sus funciones. Para ello, se requiere una adaptación a la normativa comunitaria y estatal que regula esta materia (RGPD y LOPDGDD). El derecho fundamental a la protección de datos personales es un ámbito de especialización del derecho al que se dedican los abogados para la prestación de sus servicios a los clientes. El responsable del tratamiento de datos puede ser el abogado titular del despacho individual, una entidad o empresa para la que el abogado preste sus servicios o una sociedad mercantil, y debe cumplir con las obligaciones establecidas por el RGPD y la LOPDGDD. La AEPD ha creado el Canal Prioritario como un mecanismo para proteger los derechos y libertades fundamentales en la utilización de sus datos personales.


La naturaleza de las profesiones de la abogacía y la procura requiere el conocimiento de datos personales de sus clientes para un desempeño correcto de sus funciones (direcciones, datos de pagos...), es decir, se produce un tratamiento de datos de carácter personal y, por tanto, ha de producirse una adaptación a la normativa comunitaria y estatal que regula esta materia (RGPD y LOPDGDD).

En el año de entrada en vigor del RGPD (2016), el propio Consejo General de la Abogacía afirmó que «se trata de una norma que —aunque ha tenido un plazo de dos años para su aplicación— supone una revolución para sectores como la abogacía. Con este especial se pretende reforzar la cultura de protección de datos especialmente sensibles que se manejan a diario en los despachos de abogados y en las instituciones de la Abogacía».

Así también, la evolución digital que rige la sociedad y las relaciones tanto interpersonales como profesionales suponen, a su vez, un tráfico más fluido de datos personales y, con ello, importantes riesgos que pueden vulnerar su protección. 

Lo que ha de blindarse es la protección de datos personales, derecho fundamental derivado del artículo 18, apartado 4, de la CE y que como indica el propio CGAE en su publicación «Abogacía y protección de datos: elementos clave para su cumplimiento», por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos: «El derecho fundamental a la protección de datos personales, derivado del artículo 18.4 de la Constitución, no sólo constituye un ámbito de especialización del derecho al que se dedican, o pueden dedicarse, los abogados en la prestación de sus servicios a los clientes, sino que, sea cual sea la materia a la que se dedican profesionalmente, lo han de observar y garantizar como sujetos obligados en sus relaciones profesionales con clientes, empleados, instituciones y organismos públicos».

Responsable del tratamiento de datos

En cuanto al responsable del tratamiento de datos, destacar lo siguiente:

1. En el tratamiento de datos, al margen del sector en que nos encontremos, ¿quién puede ser el responsable?

Como bien indica el artículo 4, apartado 7, del RGPD, el responsable del tratamiento es la «(...) persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».

2. En el sector de la abogacía y la procura, ¿quién será el responsable del tratamiento?

La respuesta a esta cuestión la encontramos en el Informe 2012 de la Comisión jurídica del CGAE que dispone que deben distinguirse los siguientes supuestos:

  • Abogado que ejerce individualmente.
  • Abogado integrado en un despacho para el que presta sus servicios.
  • Abogado que ejerce individualmente pero en el marco de algún tipo de colaboración consistente en la participación en gastos de un despacho compartido con gestión administrativa única.
  • Abogado colegiado en España pero que presta sus servicios en un país extranjero. 
  • Abogado que ejerce como árbitro único. 
  • Abogado que forma parte de un colegio arbitral. 
  • Institución arbitral.

Esta clasificación es importante en orden a determinar quién ostenta la condición de responsable del fichero o tratamiento y quién la de encargado, pues el régimen de la determinación del plazo de conservación de los datos de carácter personal es diverso.

Profundizando en cada supuesto y acudiendo también al CGAE, cabe destacar:

  • Ejercicio individual (art. 35 del EGAE). En este tipo de ejercicio, el profesional de la abogacía responde profesionalmente frente a sus clientes de las actuaciones que realicen los profesionales de la abogacía que integren el despacho, sin perjuicio de la facultad de repetir frente a estos. Si se da el ejercicio individual se deduce que el responsable del tratamiento es el abogado titular del despacho individual.
  • Colaboración (art. 36 del EGAE) y colaboración multiprofesional (art. 43 del EGAE). La colaboración multiprofesional implica la asociación de estos profesionales bajo cualquier forma lícita en derecho. Ahí surgen las sociedades mercantiles y, en conclusión, las responsables del tratamiento para estos casos. 
  • Por cuenta ajena (arts. 37 a 39 del EGAE). Podrá ser en régimen de relación laboral especial o común, respetando la libertad, independencia y secreto profesional de la profesión. En estos casos, el responsable del tratamiento es la entidad o empresa para la que el abogado presta sus servicios. 
  • Ejercicio colectivo (art. 40 del EGAE). Deberá hacerse una interpretación del artículo 5, apartado 2, de la Ley 2/2007, de Sociedades Profesionales que indica que las obligaciones de la actividad profesional desarrolladas se imputarán a la sociedad, sin perjuicio de la responsabilidad personal de los profesionales en cuanto a deudas sociales, que indica el artículo 11 de la citada ley. Dentro del ejercicio colectivo se incluyen:
    • Sociedades profesionales (art. 41 del EGAE).
    • Ejercicio colectivo en forma no societaria (art. 42 del EGAE).

3. Funciones del responsable del tratamiento de datos

  • Atender al ejercicio de los derechos de los interesados.
  • Cumplir el RGPD y demostrarlo como ordena el artículo 24 del RGPD (en caso contrario puede originar responsabilidad conforme a los artículos 83 del reglamento y 72 de la ley). Como indica el artículo 28, apartado 1, de la LOPDGDD, conforme a los elementos enumerados en los artículos 24 y 25 del RGPD, el responsable determina las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el referido reglamento, con la LOPDGDD, con sus normas de desarrollo y la legislación sectorial aplicable.
  • Aplicar las políticas de protección de datos, siempre que sean proporcionadas en relación con las actividades de tratamiento.
  • Llevar un registro de actividades de tratamiento (art. 30 del RGPD y art. 31 de la LOPDGDD).
  • Realizar de correspondiente análisis de riesgos y adopción de las medidas de seguridad (artículo 32 del RGPD).
  • Realizar a EIPD, cuando proceda, conforme al artículo 35 del RGPD y artículo 28 de la LOPDGDD.
  • Valorar si procede la consulta previa que se regula en el artículo 36 del RGPD.
  • Comunicar las brechas de seguridad a la autoridad de control y, en su caso, a los afectados (artículos 33 y 34 del RGPD), o comunicar la designación de un delegado de protección de datos —DPD— a la autoridad competente (artículos 37 a 39 del RGPD y 34 a 37 de la LOPDGDD).

CUESTIÓN

¿Existe diferencias entre responsable y/o encargado del tratamiento de los datos personales?

El artículo 4, apartados 7 y 8, del RGPD, los define y marca la diferenciación entre ambos sujetos. Así, como ya se ha expuesto, el responsable determina los fines y medios del tratamiento y el encargado trata los datos por cuenta del primero, es decir, del responsable del tratamiento. 

Asimilando estos conceptos al sector de la abogacía y la procura, podemos decir que:

    • Responsable del tratamiento: actuaremos como tal en el marco de la prestación de servicios a los clientes, así como en el tratamiento de datos de nuestros colaboradores y empleados del despacho.
    • Encargado del tratamiento: en el marco de la prestación de servicios a los clientes, tratamos datos personales que son responsabilidad de los clientes. Es decir, el responsable es el cliente y yo actúo como encargado por cuenta del primero. 

¿Qué es el canal prioritario? 

Se trata de una de las iniciativas de la AEPD con la finalidad de ofrecer a personas un mecanismo para proteger sus derechos y libertades fundamentales en la utilización de sus datos personales, como son las imágenes o audios en redes sociales u otros servicios de internet.

Así, el canal prioritario se configura como un fast track o vía rápida, para dar una solución pronta ante situaciones excepcionalmente delicadas que así lo requieren, a fin de evitar que la difusión de imágenes o audios de carácter sexual, violento, humillantes o degradante produzca o agrave los daños si se mantiene esa difusión, perjuicios que resultan de difícil o imposible reparación. Es la denominada violencia digital que afecta, en su gran mayoría, a mujeres, menores de edad y colectivos más vulnerables. 

AEPD y CGAE firmaron un protocolo general de actuación que, entre sus objetivos, establece que los abogados deben conocer este canal para así informar y asesorar, cuando sea el caso, a sus clientes sobre la existencia de esta vía de solución rápida.