La entrada en vigor de la nueva normativa de Protección de Datos afecta a todas las empresas y su forma de trabajar. Pero…

¿qué ocurre con los abogados?

En este post te dejo todos y cada uno de los pasos a seguir para adaptar tu despacho jurídico al RGPD.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva Ley de Protección de Datos (pendiente de aprobar aún en España)
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)

¿Cómo deben cumplir los abogados el RGPD?

Como abogado seguro que tienes en tus manos todo tipo de datos, algunos muy sensibles: financieros, de salud, condenas…

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán mucho la tarea.

Estoy segura de que en tu despacho de abogados se manejan una gran cantidad de datos de clientes. Puedes tener datos de todo tipo, datos financieros y de crédito, datos de salud, relativos a condenas penales, etc.

Cada vez que un cliente contrata el asesoramiento jurídico estás manejando datos de carácter personal de terceros y, para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

La Ley de Protección de Datos para despachos de abogados se resume en las siguientes actuaciones:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

¿No sabes por dónde empezar?

No te preocupes, te explico paso por paso todo lo que debes hacer.

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad. Debes responder a preguntas como:

  • Para qué trato los datos.
  • Base de legitimación
  • Qué datos trato.
  • De qué colectivos.
  • Cómo los recojo.
  • Cómo trato esos datos.
  • A quién se los cedo y para qué.
  • Cómo los guardan y cuánto tiempo.
  • Los transfiero fuera del país.

Por eso es necesario que realices un registro de actividades de tratamiento que debes mantener actualizado.

Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

Una vez que has registrado todos los tratamientos debes también realizar un análisis del riesgo en el que valores las posibles contingencias de esos tratamientos de datos, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde almacenas los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos:
    • ¿tienes datos de incapacidades de clientes?
    • ¿de condenas penales?
    • ¿o solo datos de identificación?
  • el número de interesados afectados:
    • ¿1.000 clientes?
    • ¿5.000?
    • ¿50.0000?

Una vez realizado este análisis, tienes que implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene lo complicado.

Respira profundo y ¡vamos a ello!

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Los despachos de abogados tienen un riesgo alto al realizan un tratamiento de categorías especiales de datos ya que manejan datos financieros y de crédito, salud, condenas e infracciones penales, etc. Por eso necesitan la Evaluación de impacto. Se trata de un “pedazo” informe donde se identifican los riesgos que puedan existir sobre los datos personales que tratas y se especifican los controles y protección que tienes que aplicar.

¿Te has quedado igual que estabas?

Aquí tienes un enlace a un post que escribí hace un tiempo sobre las Evaluaciones de impacto con el que espero aclarar tus dudas (tiene más de 4.000 visitas).

4. Contratos con Encargados de tratamiento

Como abogado seguro que te relacionas también con terceros que acceden a algunos de los datos de tus clientes o empleados.

Y no me digas que no cedes los datos a nadie.

¿Tienes una empresa informática que te realiza el mantenimiento de los equipos o de la web?

¿Trabajas con peritos judiciales?

Entonces sí cedes datos a terceros. Y debes asegurar que también cumplan la normativa de Protección de Datos.

Se exige a los abogados un deber de diligencia en la selección del encargado tratamiento. Elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Por ello, es importante aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si ofreces los servicios jurídicos a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº  de colegiado

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de tu página web y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde utilizas esos datos?
  • ¿Lo estás haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Realizas cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que le estás solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos (este eres tú) y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes publicarla en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debes informar sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de clientes

Además de actualizar la política de privacidad, es fundamental que tengas el consentimiento expreso de todos tus clientes para poder tratar sus datos. Este consentimiento puede solicitarse de dos formas:

En la página web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En el despacho

En caso de que el cliente te facilite sus datos personalmente en el despacho, debe firmar un documento en el que le informes sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que les comuniques cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Para ello debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios debes indicarlos en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una empresa trabaja con un despacho de abogados, pero decide cambiar a otro, puede llevarse consigo cualquier dato en posesión de aquel. Así pues, los datos personales debes almacenarlosos y administrarlos en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

8. Acuerdo de confidencialidad con empleados

¿Tienes empleados en tu despacho jurídico?

Pues esto te interesa.

Los empleados pueden acceder a toda la información que manejas en el despacho y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad que hayas establecido en el despacho para garantizar la protección de los datos personales.

En los despachos de abogados los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tienen para los ciberdelincuentes.

La protección frente a las ciberamenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, …) y el fomento de las medidas de prevención y reacción, así como la formación y concienciación de los empleados, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de tu despacho.

¿Ves por qué te interesaba?

9. Notificar brechas de seguridad

¡Ojo con esto!

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se produzca un ciberataque o una infracción de seguridad en tu despacho, debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Es importante que sepas que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

10. Designar un Delegado de Protección de Datos

¿Y este quién es?

No te preocupes, seguro que no lo necesitas.

Con carácter general, no vas a necesitar contratar un DPO. Pero puede ser necesario que, si tratas un gran volumen de datos, tengas que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto debes publicarlos y comunicarlos a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Hay que destacar que los Colegios profesionales, en este caso los Colegios de Abogados, sí tienen obligación de nombrar un Delegado de Protección de Datos.

Preguntas frecuentes

A continuación tienes varias preguntas que me suelen hacer los abogados. Y seguro que tú también te las haces.

¿Debe un abogado solicitar el consentimiento a la contraparte para tratar sus datos?

En este caso se produce una colisión de derechos fundamentales, a saber, el de tutela judicial efectiva y el de protección de datos, debiendo prevalecer, en este supuesto, el contemplado en el art. 24 de la Constitución, es decir, la tutela judicial efectiva y el derecho de defensa. Si solicitan el consentimiento a los afectados de contrario o les comunican determinada información que se pudiera disponer procedente de los clientes, podrían perjudicar claramente a su derecho a obtener la tutela judicial efectiva.

Por tanto, el abogado no está obligado a pedir el consentimiento en este supuesto.

¿Puedo comunicarme con mis clientes a través de WhatsApp?

, puedes utilizar este sistema de comunicación con los clientes. Pero necesitas su consentimiento expreso para ello.

A partir de la entrada en vigor del RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social Facebook de forma clara para que el usuario consienta dicho traspaso de información. Este sistema agiliza mucho la comunicación, ya que prácticamente todo el mundo lo tiene instalado y por ello es fundamental recoger correctamente los consentimientos de los usuarios.

¿Cómo debo tratar los datos relativos a la prevención del blanqueo de capitales?

Cumplir con la legislación sobre Protección de Datos y de Prevención de Blanqueo de Capitales se ha convertido en una necesidad para cualquier despacho profesional.

El RGPD permitirá investigar las operaciones bancarias “sospechosas” de blanqueo de dinero y financiación del terrorismo sin necesidad de contar con la autorización de las personas que intervengan en estos movimientos. De esta forma se ratificará la situación actual de comunicar operaciones sospechosas al Servicio Ejecutivo sin conocimiento de los particulares afectados.

Por lo tanto, de las anteriores obligaciones se desprenden tres cosas:

  • existencia de un tratamiento de información personal sujeto a la normativa de protección de datos personales,
  • comunicaciones de datos amparada por Ley a un organismo administrativo, Servicio Ejecutivo de la Comisión, que adoptará la figura de encargado de tratamiento, y
  • obligación de implantar un sistema de archivo y custodia.

¿Pueden publicarse las sentencias judiciales en Internet?

Estas sentencias pueden publicarse pero siempre que exista anonimización de los datos personales.

El RGPD limita el acceso al contenido de las sentencias a los fines de difusión pública de las mismas al indicar que los órganos jurisdiccionales no facilitarán copias de las resoluciones judiciales. Esto sin perjuicio del derecho de acceder en las condiciones que se establezcan a la información jurídica que disponga el Centro de Documentación Judicial del Consejo General del Poder Judicial.

Por razones de orden público y de protección de los derechos y libertades, los jueces y tribunales podrán limitar el ámbito de la publicidad y acordar el carácter secreto de todas o parte de las actuaciones.

Plantillas

Aquí tienes todos los documentos que necesitarás para adaptar tu despacho de abogados a la normativa de Protección de Datos.

Sanciones

Ahora, las sanciones pueden llegar a 10.000.000 de euros o el 2% de la facturación, o hasta 20.000.000 de euros o el 4% de la facturación. Además, se puede reclamar indemnización por daños y prejuicios por parte de los interesados o usuarios.

¿A que asusta?

Creo que estos importes son demasiado exagerados para una pequeña empresa o autónomo. Y se adaptarán a las circunstancias concretas de cada caso.

Pero debe servir para concienciarnos sobre la importancia de cumplir con esta normativa de Protección de Datos.

Te dejo algunos ejemplos de sanciones impuestas por la AEPD a despachos de abogados.

Cámaras de videovigilancia que graban la vía pública

En caso de instalar cámaras de videovigilancia en el despacho debes evitar grabar la vía pública e instalar los correspondientes carteles informativos indicando quién es el Responsable del tratamiento y dónde pueden dirigirse los afectados para ejercer sus derechos. Y utilizar esas videocámaras cuando no exista otro medio menos invasivo para la privacidad de las personas. Resolución AEPD A/00402/2017

Enviar comunicaciones comerciales sin consentimiento

Recuerda que si vas a enviar comunicaciones comerciales a tus clientes debes tener su consentimiento expreso para ello. También debes ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le envíes. Resolución AEPD R/01690/2017

Ahora solo tienes que seguir estos pasos para adaptarte cuanto antes a esta nueva normativa.

Y no te agobies, no es tan difícil como parece.

¿Necesitas cumplir el RGPD?

Protección de datos para Abogados
4.5 (90%) 12 votos