Roberto L. Ferrer Serrano. Abogado 2870 REICAZ.
El pasado 25 de Mayo cobró ya plena vigencia el Reglamento Europeo de Protección de Datos[1] que afecta enormemente a toda forma de ejercicio de la Abogacía.
Se da la circunstancia de que los Abogados tenemos en nuestro ADN el secreto profesional como uno de los rasgos distintivos de nuestra profesión. No en vano se trata de un derecho/deber con fundamento constitucional y que se establece en diferentes normas, como el artículo 542.3 de la LOPJ[2].
También nuestra propia normativa profesional le dedica diversos preceptos. Así, el Real Decreto 658/2001, de 22 de junio, por el que se aprueba el Estatuto General de la Abogacía Española en su art. 32.1 consagra la obligación del abogado de guardar secreto profesional y de no poder declarar sobre hechos protegido por tal secreto. Esta obligación se reitera en el art. 42.1 del EGAE.
También el CÓDIGO DE DEONTOLOGÍA DE LOS ABOGADOS EUROPEOS[3] y nuestro CÓDIGO DEONTOLÓGICO en su Preámbulo citan al secreto profesional entre los principios fundamentales de nuestra profesión regulándose en este último en su Art. 5.
Esta normativa resulta extremadamente estricta puesto que impide llevar asuntos a terceros que puedan conllevar la vulneración de este secreto utilizando información de otros clientes a la que se haya accedido por razón profesional.
Por otro lado los Abogados debemos servir en materia de secreto profesional no solamente a la normativa deontológica, sino que su alcance se amplía también a la normativa vigente en materia de protección de datos de carácter personal.
Como veremos, aunque existe una íntima relación entre ambos cuerpos jurídicos, cada uno de ellos ocupa un lugar propio en el ejercicio profesional, con sus circunstancias concretas y por ello debemos delimitar su ámbito de aplicación.
El contenido del deber de secreto, que tiene una duración indefinida, abarca todas las confidencias del cliente, las del adversario, las de los compañeros, y hechos o documentos de los que haya tenido noticia o recibido, extendiéndose a todas aquellas personas que puedan tener acceso a ello, tanto en el caso de los despachos colectivos como en los individuales, con personal o sin él.
Sin embargo, con ser esencial para el ejercicio profesional, este deber de secreto no alcanza determinadas situaciones, como por ejemplo algunos supuestos de la normativa de blanqueo de capitales y financiación del terrorismo, o la exención de este deber por el Decano en casos de art. 5.8 del Código Deontológico, a quien podrá consultarse y éste orientar sobre el caso y, si fuera posible, determinar medios alternativos de solución del problema planteado ponderando los bienes jurídicos en conflicto.
Finalmente vemos que el deber de secreto se extiende en la normativa profesional tanto a las personas físicas como a las jurídicas, mientras que la normativa de protección de datos afecta exclusivamente a las personas físicas.
En el caso de la normativa de protección de datos nos vamos a encontrar con un sistema normativo complejo que además tiene una amplitud mucho mayor ya que no solamente va a referirse a los aspectos de confidencialidad, sino a un concepto jurídico autónomo como es el de la privacidad.
Es decir, que el deber de secreto afecta a los aspectos de confidencialidad, y se vería reforzado por la aplicación de las normas de seguridad técnicas necesarias para garantizar este derecho de los clientes de los despachos, así como de los contrarios, mientras que la privacidad debe ser garantizada mediante medidas de diferente naturaleza.
Por ejemplo, para garantizar que la recogida de datos de nuestros clientes afecte solamente a aquellos datos estrictamente necesarios para la finalidad legítima que supone la prestación del servicio a nuestros clientes, no se requiere ninguna medida técnica pero sí establecer procedimientos que nos permitan cumplir con este requerimiento.
Lo mismo puede decirse de la necesidad de garantizar que los datos que nos entregan nuestros clientes no van a utilizarse con una finalidad diferente o durante más tiempo del estrictamente necesario para la prestación del servicio.
[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
[2] Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. Artículo 542.3 “Los abogados deberán guardar secreto de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos.”
[3] Adoptado en la Sesión Plenaria del CCBE de 28 de octubre de 1988 y modificado en las Sesiones Plenarias de 28 de noviembre de 1998, 6 de diciembre de 2002 y 19 de mayo de 2006 https://www.abogacia.es/wp-content/uploads/2012/06/codigo_deontologico1.pdf
“2.3.1. Forma parte de la esencia misma de la función del Abogado el que sea depositario de los secretos de su cliente y destinatario de informaciones basadas en la confianza. Sin la garantía de confidencialidad, no puede existir confianza. Por lo tanto, el secreto profesional es un derecho y una obligación fundamental y primordial del Abogado.
La obligación del Abogado relativa al secreto profesional conviene al interés de la Administración de Justicia, y al del cliente. Esta obligación, por lo tanto, debe gozar de una protección especial del Estado.
2.3.2. El Abogado debe guardar el secreto de toda información, de la que tuviera conocimiento en el marco de su actividad profesional”
https://www.abogacia.es/wp-content/uploads/2012/06/codigodeontologico.pdf
La aplicación a los despachos de abogados requiere desarrollar una serie de actuaciones para dar cumplimiento a la normativa de protección de datos entre ellas se encuentran:
- Verificación de la información que se proporciona a los interesados. El Reglamento Europeo de Protección de Datos obliga a ofrecer a los interesados una mayor calidad de la información sobre los tratamientos que se realizan exigiéndose elevadas cotas de transparencia y estar en condiciones de demostrar el debido cumplimiento.
Para ello se redactarán cláusulas de información específicas. - Establecimiento de un registro de actividades de tratamiento. Se incluirán los contenidos previstos por el Artículo 30 del Reglamento Europeo de Protección de Datos de todas las actividades que el Abogado desarrolla y estén sujetos a tratamiento de datos de carácter personal. Los despachos de más de 250 trabajadores tienen requisitos adicionales.
- Realización de un análisis de riesgos e identificación de medidas de seguridad específicas para dar cumplimiento al Reglamento Europeo de Protección de Datos. Entre los riesgos específicos podemos encontrar los siguientes:
Riesgos específicos
- Tratar los datos sin base jurídica adecuada
- No poder acreditar que se ha informado a los interesados del tratamiento de sus datos
- No aplicar las medidas de seguridad adecuadas
- No disponer de procedimientos para que los interesados puedan ejercitar sus derechos de control
- Externalizar total o parcialmente actividades que conllevan tratamiento de datos personales sin establecer las cláusulas contractuales necesarias.
- No contemplar procedimientos para hacer frente a brechas de seguridad
- No realizar cuando proceda evaluaciones de impacto
- No disponer de un Delegado de Protección de datos cuando corresponda.
Ejemplo de tabla de cálculo de riesgos[1]
Detallaremos algo más alguno de estos riesgos y obligaciones:
Ejercicio de derechos de los interesados
El despacho responsable y en su caso los colaboradores o proveedores que accedan a la información personal encargados de tratamiento deben prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes de los interesados por lo que se comprobará que estos se encuentren claramente definidos.
Se tendrá especialmente en cuenta la incidencia que sobre el Despacho tienen los nuevos Derechos de portabilidad y limitación estableciéndose procedimientos para dar respuesta al eventual ejercicio de los mismos por parte de los interesados.
Verificación de las relaciones con los encargados de tratamiento
Se comprobará el inventario de encargados de tratamiento al objeto de verificar que existen procedimientos para que todos los tratamientos que realizan se encuentren debidamente documentados, teniendo en cuenta las nuevas exigencias que establece el Reglamento Europeo de Protección de Datos.
[1] Incluimos un ejemplo con riesgos de gestión de la privacidad. Se observa que ante un determinado riesgo se calcula de forma realista y en función del cálculo se adoptan medidas, debiendo calcularse el riesgo nuevamente hasta que resulte asumible por el Abogado, y revisarse periódicamente. Existe libertad para establecer la forma en la que realizaremos el cálculo, para ello se utilizan metodologías como las elaboradas por la Agencia Española de Protección de Datos que ha diseñado diferentes Guías gratuitas que pueden ser utilizadas aunque debe asumirse que su implementación, aunque no es difícil, requiere prestar la debida dedicación a esta cuestión.
https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf
También el Consejo General de la Abogacía ha dispuesto medios para ello: https://www.abogacia.es/2018/05/10/proteccion-de-datos-para-abogados
También será frecuente que el despacho asuma tratamientos de datos de sus clientes por lo que se deberá tener en cuenta que existan procedimientos de dichos tratamientos al objeto de comprobar que estos se encuentren debidamente documentados.
Procedimientos para la notificación de brechas de seguridad
Se deberá disponer de un procedimiento básico para comunicar toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. El plazo para ello es de 72h. como máximo.
Transferencias de Datos a terceros países u organizaciones internacionales
En el caso de que el Despacho realice este tipo de transferencias se cumplirán los requisitos necesarios distinguiendo si se trata de transferencias basadas en una decisión de adecuación, si se requieren garantías adecuadas, o no se califican como autorizadas por el Derecho de la Unión.
Adecuación por el Despacho a los nuevos principios que han de respetarse con la entrada en vigor del Reglamento Europeo de Protección de Datos
Nuevos principios como el de transparencia, «accountability», responsabilidad o garantía con la entrada en vigor del nuevo Reglamento desde Mayo forman parte de las normas de actuación que han de seguir Entidades de todo tipo y por lo que deberán preverse procedimientos que se ajusten a los mismos.
Nombramiento de un Delegado de Protección de Datos.
Aunque los despachos individuales no requieren en general la adoptación de esta figura, los pequeños despachos colectivos pueden ya requerirla. Existen diferentes formas de contratación, tanto a través de relación laboral como profesional y a tiempo completo o a tiempo parcial que pueden utilizarse.
Formación y Concienciación
El despacho deberá además contar con planes de formación adecuados para que todos aquellos que intervengan en el tratamiento de datos personales se encuentren en condiciones de conocer la normativa, y lo que resulta todavía más importante, concienciarse de la necesidad de cumplimiento de la misma.
Conclusiones
La adaptación de la normativa de protección de datos personales por parte de los Abogados, sea cual sea la modalidad de su ejercicio profesional, es una obligación adicional a la ya asumida relativa al secreto profesional. La tentación de obviar su cumplimiento no resulta recomendable habida cuenta que las consecuencias económicas, de imagen, etc., pueden llegar a ser inasumibles, de la misma forma que nadie se plantea vulnerar el secreto profesional.
Por otra parte, aunque la normativa de protección de datos aparentemente reviste la forma de una norma jurídica, en realidad se establece un sistema de gestión de la privacidad más cercano a las normas técnicas (Ej: ISO), muy alejado de la forma en la que los Abogados nos aproximamos tradicionalmente a las normas jurídicas, distinguiéndose además dos niveles diferentes: el de la protección de los datos y el de la gestión de la privacidad de trabajadores, colaboradores, proveedores y por supuesto de los clientes con los que nos relacionamos.
La atomización generalizada de los despachos profesionales condiciona de forma muy importante la correcta aplicación de esta normativa ya que impone exigencias que por su dificultad restan competitividad al desarrollo de nuestras actividades, que ya tienen suficientes problemas a los que atender. Un ejemplo de ello es la necesidad de utilizar los servicios de un Delegado de Protección de datos en despachos colectivos.
Una mayor asunción de la tecnología y su utilización, así como mayor racionalización de los procesos de trabajo, un dimensionamiento de los despachos más acorde con las necesidades futuras, y el papel de los Colegios Profesionales, marcarán un futuro inminente que supone nuevos retos para el ejercicio de nuestra profesión.