Protección de Datos para abogados

Guía 2021

Como otras muchas empresas y negocios, en su actividad profesional los despachos de abogados también tratan con los datos personales de sus clientes, por lo que están obligados a cumplir con la normativa vigente. En esta guía vamos a explicar los aspectos y obligaciones fundamentales de la protección de datos para abogados.

¿Qué tipos de datos personales se tratan habitualmente en los despachos de abogados?

Los despachos de abogados pueden tratar con una amplia variedad de datos personales de sus clientes, en función de la especialización o áreas del derecho sobre las que ofrezcan sus servicios; por ejemplo, un despacho especializado en derecho penal podrá tener acceso a datos sobre delitos o infracciones pasadas de sus clientes.

De manera que los despachos de abogados pueden tratar datos personales de carácter general (identificativos, profesionales, educativos, financieros…) y datos personales especialmente protegidos (relativos a la salud, de naturaleza penal, de orientación sexual, origen étnico…). Por este motivo, es fundamental que los abogados cumplan con la Ley de Protección de Datos y observen todas las obligaciones recogidas en ella.

Normativa de Protección de Datos aplicable a despachos de abogados: LOPDGDD y RGPD

La normativa de protección de datos para despachos de abogados la encontramos en dos leyes, una de ámbito nacional y otro de ámbito europeo, pero que comparten las mismas obligaciones y exigencias.

LOPD para abogados

La LOPD o LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales) es la normativa española en materia de protección de datos. En vigor desde diciembre de 2018, esta ley sustituyó a la antigua ley de protección de datos, adaptando el Reglamento General de Protección de Datos (RGPD) europeo en nuestro ordenamiento jurídico y concretando aquellos puntos más generales, que el Reglamento deja en manos de los Estados miembros.

Esta adaptación trajo consigo nuevas obligaciones, pero también eliminó algunos trámites, como la obligatoriedad de inscribir los ficheros de tratamiento en la AEPD (Agencia Española de Protección de Datos), a la que designó como autoridad competente en protección de datos.

Actualmente, al cumplir la LOPD, los abogados también cumplen con el RGPD.

RGPD para abogados

Como hemos dicho, el RGPD es el reglamento europeo de protección de datos, creado para tener un marco legal armonizado en toda la UE y en el EEE (Espacio Económico Europeo). Fue aprobado en 2016, pero en España no entró en vigor hasta mayo de 2018.

El RGPD introdujo varias novedades, como el consentimiento expreso, el registro de actividades, el análisis de riesgo y la evaluación de impacto o la figura del Delegado de Protección de Datos (DPO), entre otras. Así como endureció el régimen sancionador, elevando las cuantías de las multas por infracciones en materia de protección de datos.

El RGPD también es el que estableció las dos categorías de datos personales actuales: generales y especialmente protegidos.

Ventajas que consigue un abogado que adapta su actividad a la normativa vigente

Al cumplir con la normativa de protección de datos, un abogado consigue las siguientes ventajas:

  • Evitar recibir sanciones por parte de la AEPD
  • Mejora en la reputación de su despacho
  • Una mejor gestión de los flujos de información

Sanciones a las que se expone si no se ajusta debidamente a ley

Los despachos de abogados que no se adapten de la manera debida a la normativa de protección de datos pueden enfrentar sanciones económicas importantes.

El RGPD contempla una sanción de hasta 10 millones de euros o el 2% de la facturación anual del despacho o profesional (la cuantía que sea mayor) para las infracciones graves.

Y una sanción de hasta 20 millones de euros o el 4% de la facturación anual para las infracciones muy graves.

La normativa española concreta un poco más, recogiendo en su articulado qué infracciones se consideran leves, graves y muy graves, pero la horquilla de cuantías para las sanciones en la LOPD es la misma que se recoge en el RGPD.

Estos son los pasos para que un bufete de abogados cumpla adecuadamente con la protección de datos

Para adaptarse a la LOPDGDD y al RGPD los despachos de abogados deberán seguir los siguientes pasos.

Pasos cumplir ley lopd rgpd los abogados

Registro de actividades de tratamiento

Como ya señalamos, el RGPD introdujo la obligación de elaborar un registro de actividades de tratamiento, donde se deben recoger todos los tratamientos de datos personales realizados por una entidad. Esta obligación solo debe contemplarse bajo una serie de circunstancias; en el caso de los despachos de abogados es muy probable que se den las siguientes:

  • Los datos personales tratados pueden entrañar un riesgo para los derechos y libertades de los interesados
  • Se tratan datos personales de categorías especiales o sobre infracciones penales

El registro de actividades de tratamiento debe ofrecer la siguiente información concisa, pero detallada:

  • Nombre y datos de contacto del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
  • Legitimación del tratamiento
  • Fines del tratamiento
  • Descripción de las categorías de datos personales e interesados
  • Descripción de las categorías de destinatarios de los datos (existentes y previstos)
  • Si se producirán transferencias internacionales de datos fuera de la UE
  • Plazos de conservación de los datos
  • Descripción de las medidas de seguridad implantadas

El registro de actividades de tratamiento es un documento interno, que siempre debe estar actualizado, y que puede mantenerse tanto en formato impreso como en formato digital. En caso de que la AEPD lo solicite, hay que facilitárselo.

Análisis de riesgos

Antes de llevar a cabo ninguna actividad de tratamiento de datos personales, la normativa de protección de datos obliga al despacho de abogados a llevar a cabo un análisis de riesgos.

Este análisis de riesgos debe realizarlo el responsable del tratamiento (que es el propio despacho de abogados) y sirve para evaluar los riesgos que pueden derivarse de los tratamientos de datos personales para los derechos y libertades de los interesados. Es decir, sirve para determinar las posibilidades de que una amenaza se materialice y el impacto negativo que pueda tener sobre los interesados.

El análisis de riesgos tiene en cuenta cuestiones como el tipo de tratamiento, las categorías de datos tratadas, el sistema de recogida y almacenamiento, quién tiene acceso a esos datos, el número de interesados, la cesión de datos a terceros, etc.

De sus conclusiones, se pueden determinar las medidas o soluciones de seguridad que es necesario implantar para minimizar o eliminar la posibilidad de que ocurra el riesgo o, en caso de producirse, reducir su impacto y consecuencias.

Este es un ejemplo de análisis de riesgos de protección de datos que puede servir como modelo para la protección de datos para abogados.

Evaluación de impacto

Cuando del análisis de riesgos del punto anterior se concluye que puede existir un nivel de riesgo alto para los derechos y libertades de los interesados, es necesario realizar una evaluación de impacto.

La evaluación de impacto es un nuevo análisis de riesgos, pero más centrado en el impacto negativo que el tratamiento de datos personales puede tener sobre las libertades y derechos de los interesados. El objetivo sigue siendo minimizar las posibilidades de que un riesgo se materialice, para lo que se deberán determinar las medidas de seguridad que ayuden a ello y a garantizar la confidencialidad de la información.

Plazo de conservación de los datos

Otras de las obligaciones del RGPD para los abogados es la de establecer un plazo de conservación para los datos personales recogidos.

Ahora, ni el RGPD ni la LOPDGDD indican cuál es ese plazo concreto, sino que dejan en manos del responsable del tratamiento decidir qué plazo adecuado en función de la finalidad para la que fueron recogidos los datos y el tipo de datos personales. Con carácter general, el plazo de conservación debe ser el mínimo posible o necesario para alcanzar la finalidad para la que se recabaron los datos.

Si bien, hay que tener en cuenta que hay documentación que contiene datos personales, cuya conservación depende de otras leyes (por ejemplo, las empresas están obligadas a conservar las facturas durante un período de 5 años).

Contratos con Encargados de tratamiento

Cuando se van a ceder datos de carácter personal a terceros, es necesario firmar un contrato de encargo de tratamiento. Esto ocurre, por ejemplo, cuando el abogado recurre a un perito para preparar un caso y este perito tendrá acceso a los datos personales del cliente. O, si hablamos de un despacho de abogados, cuando se tiene contratado un servicio de prevención de riesgos laborales y vigilancia de la salud, puesto que tendrán acceso a datos personales de los empleados.

Es necesario que por cada cesión de datos a terceros, el responsable del tratamiento firme un contrato con el encargado del tratamiento (en el primer ejemplo anterior, es el perito, si es un profesional por cuenta propia, o la empresa en la que trabaje).

En el contrato de encargo se especificarán todas las obligaciones en materia de protección de datos que debe contemplar el encargado del tratamiento.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Auditorías periódicas

Ya no es una obligación realizar una auditoría LOPD, el RGPD y la LOPDGDD no mencionan las auditorías, pero sí que exigen demostrar el cumplimiento normativo y que se dispone de las medidas de seguridad adecuadas y efectivas para evitar o reducir los riesgos que conlleva el tratamiento de datos personales. La mejor herramienta para poder hacerlo es la auditoría de protección de datos.

La realización de auditorías periódicas de protección de datos servirá al despacho de abogados para comprobar el nivel de cumplimiento de la normativa y la eficacia de sus medidas de seguridad. De sus conclusiones se podrá determinar si es necesario reforzar o implantar nuevas medidas y dónde hacerlo.

Consentimiento de clientes

Para cumplir con la normativa de protección de datos, el abogado o el despacho debe recabar siempre el consentimiento expreso de sus clientes para recabar y tratar sus datos personales.

Este consentimiento siempre debe darse mediante una acción afirmativa, puede ser la firma del documento en el que se informa sobre el tratamiento de sus datos o mediante un botón «acepto» en un formulario en línea, siempre que cuenta con un enlace a la información correspondiente sobre el tratamiento de los datos.

Cuando se solicite el consentimiento, se debe informar a los interesados de:

  • Quién es el responsable del tratamiento
  • Finalidad del tratamiento
  • Si sus datos se cederán a terceros
  • Cómo y dónde ejercer sus derechos ARCO, de portabilidad y olvido

Página web

Si el despacho de abogados cuenta con página web, esta debe tener enlazados los correspondientes textos legales:

  • Aviso legal (donde se identifica al propietario de la página web):
    • Nombre del propietario
    • NIF
    • Dirección
    • Email
    • N.º de colegiado
  • Política de privacidad (es toda la información referente a la protección de datos):
    • Existencia de un tratamiento de los datos que se están solicitando
    • Finalidad
    • Destinatario o destinatarios de aquella información
    • Identidad y dirección del responsable del tratamiento de los datos
    • Posibilidad de ejercer sus derechos
  • Política de cookies (se informa de las cookies que se generan en la web, su finalidad, duración y si pertenecen a terceros)

¿Necesitas cumplir la normativa en tu despacho?

Solicita varios presupuestos

 

Acuerdos de confidencialidad

Con aquellos empleados del despacho de abogados que puedan acceder a la información personal de los clientes, será necesario firmar un acuerdo de confidencialidad o incluir unas cláusulas de confidencialidad en sus concretos, para evitar que esa información sea revelada a personas no autorizadas. En él se establecerán las consecuencias de infringirlas.

Los empleados también deben cumplir las medidas de seguridad que se hayan establecido, para garantizar en el despacho de abogados la protección de los datos personales.

Notificación de posibles violaciones de seguridad

La actual normativa de protección de datos obliga a las entidades que hayan sufrido brechas de seguridad, a notificar a la autoridad competente de las mismas.

En España, un abogado o despacho de abogados cuyo sistema haya podido sufrir una brecha de seguridad que pueda poner en riesgo los datos personales de sus clientes, tendrá un plazo de 72 horas máximo para informar a la AEPD de ello. Además, también deberá notificar el hecho a todos los interesados cuyos datos hayan podido verse afectados.

No notificar de una brecha de seguridad que haya expuesto los datos personales de los usuarios, es motivo de sanción.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Designación de un Delegado de Protección de Datos

Con carácter general, un abogado o despacho de abogados no va a necesitar contratar un DPO. Pero puede ser necesario que, si tratan un gran volumen de datos, tengan que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPO).

Además, para cumplir con el principio de información del RGPD, la designación del DPO y sus datos de contacto deben publicarse y comunicarse a la AEPD.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Hay que destacar que los Colegios profesionales, en este caso los Colegios de Abogados, sí tienen obligación de nombrar un Delegado de Protección de Datos.

protección datos abogados

¿Eres abogado y necesitas ayuda para ajustar tu actividad a la LOPD y RGPD? Compara las mejores tarifas de España

Como abogado puede que tengas los conocimientos suficientes para adaptarte a la normativa de protección de datos, ¿pero tienes el tiempo para ello? La Ley exige tener los documentos correspondientes actualizados, además de estar pendiente de los cambios normativos que puedan producirse. Por ello, lo mejor es contar con la ayuda de un servicio externo de protección de datos.

Solicita varios presupuestos y compara las mejores tarifas de España en protección de datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.