Guía para que los despachos adopten la nueva privacidad
La normativa europea impone un modelo proactivo Los bufetes tratan una gran cantidad de datos personales
La reciente aplicación obligatoria del Reglamento europeo de protección de datos (RGPD) el pasado 25 de mayo, ha hecho que se precipiten las dudas en todos los sectores sobre cómo adaptarse a la nueva privacidad que impone. Los despachos, deben esforzarse especialmente en esta tarea ya que como indica José Luis Piñar, delegado de protección de datos del Consejo General de la Abogacía Española (CGAE), "el reglamento afecta a los bufetes en un doble sentido, ya que además de la obligación aplicarlo en su actividad, tienen la labor de ayudar y asesorar a sus clientes en su propia adaptación".
Esta segunda vertiente, ofrece a las firmas legales una oportunidad de negocio, pero además les supone una responsabilidad añadida, ya que para dar esos servicios de asesoramiento deben predicar con el ejemplo y someter su actividad a esta nueva privacidad con el rigor que exige el reglamento. "Los despachos tienen que tomárselo muy en serio. Además la protección de datos es un derecho fundamental y como tal, los abogados deben estar especialmente atentos en su defensa" apunta Piñar.
Todo ello sin olvidar las contundentes sanciones que el RGPD impone a todas las empresas, incluidos los bufetes. Hasta ahora la ley orgánica de protección de datos (LOPD) fijaba multas de hasta 600.000 euros por infracciones muy graves, el reglamento eleva esa cantidad hasta los 20 millones de euros o el 4% del volumen de negocio total anual global de la firma en el ejercicio anterior. Eso sí, en julio del año pasado con motivo de unas jornadas sobre la incidencia del RGPD en la profesión, Mar España, directora de la Agencia Española de Protección de Datos, manifestó, que si les llegase una denuncia contra un abogado y éste no tuviera sanción previa, "como regla general, salvo que la conducta sea muy grave, nos acogeremos al mecanismo de apercibimiento. Actuaremos con sentido común y flexibilidad".
En cualquier caso, en este proceso de adaptación para los despachos como para las empresas, el pilar fundamental es el cambio de mentalidad que implica el reglamento. Este nuevo modelo de protección de datos está basado en una responsabilidad activa, según la cual para cumplir con el reglamento, el bufete deberá adoptar las medidas técnicas y organizativas que garanticen la protección de los datos personales que manejan, y además permitan demostrar que el tratamiento de dichos datos es conforme al RGPD. Para ello es imprescindible que el despacho realice una serie de acciones clave.
La primera de ellas es la identificación de los datos que tratan en el ejercicio de su actividad y del riesgo que tiene cada tratamiento. La profesión de abogado requiere el tratamiento de una gran cantidad de datos personales de sus clientes y de la contraparte. Los despachos deben por tanto, determinar qué datos manejan y diferenciar aquéllos que deban calificarse como especiales porque resulten sensibles, como por ejemplo aquellos datos personales relativos a menores, a víctimas de violencia de género, a infracciones penales o administrativas, al origen étnico o racial o a la salud.
Una vez definidos y catalogados, será necesario valorar el riesgo que tiene cada tratamiento de esos datos. Como señala el CGAE en el último número de su revista, este análisis de riesgo consta de tres fases: identificación de las amenazas, determinar los escenarios en los que es posible que suceda, y finalmente, la realización de controles que reduzcan la exposición a dichos riesgos. Si el despacho resuelve que realiza un tratamiento "a gran escala" de categorías especiales de datos, lo que por lo general va unido a que la firma tenga un tamaño importante, deberá realizar una evaluación de impacto en la protección de datos. Con ella, lo que se pretende es establecer hasta qué punto una actividad de tratamiento puede causar daño a los interesados.
Consentimiento
El segundo paso para los bufetes en su adecuación a la nueva privacidad, es adaptar las cláusulas informativas, es decir, ofrecer a los titulares de los datos personales que manejan, más información, lo más clara y sencilla posible, sobre cómo pretenden tratarlos. De este modo cumplirán con la exigencia del RGPD de obtener un consentimiento libre, específico, informado e inequívoco para cada supuesto en el que traten sus datos.
Respecto al consentimiento de los clientes de los abogados, Piñar puntualiza que "no siempre se requiere su licencia explícita". Y es que en como también señalan desde la AEPD, la LOPD excluye el consentimiento en los supuestos en que los datos "se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento", como la que se da entre abogado y cliente. Sin embargo, aunque ese consentimiento explícito no sea necesario para el desarrollo del contrato de consultoría o asesoramiento, "sí lo será para otras actividades del despacho que vayan más allá de ese contrato como pueden ser formación o publicidad, salvo que exista un interés legítimo" aclara Piñar. En estos casos, habrá que reconducir esa legitimación del interesado para que habilite al despacho para tratar esos datos en esa actividad concreta.
En cuanto al tratamiento de los datos de la contraparte se produce una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal y el de defensa. En opinión de la AEPD, no sería necesario un consentimiento explícito de la parte contraria puesto que prevalecería el derecho de defensa en virtud de lo establecido en reiterada jurisprudencia por el Tribunal Constitucional: "el derecho a la intimidad no es absoluto, [...] pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto".
Confidencialidad
Los bufetes deberán además, revisar los contratos de responsable y encargado de datos, ya que el RGPD es más exigente en cuanto a la responsabilidad en la elección y supervisión de estos encargados. Asimismo, tendrán que implantar las medidas de protección técnicas y organizativas que estimen oportunas, como obligar a los trabajadores, colaboradores y a cualquier persona con acceso a los datos especialmente sensibles a firmar un compromiso de confidencialidad, o llevar a cabo iniciativas que aseguren la custodia de información como el cifrado de datos.
Al igual que la realización de una evaluación de impacto de protección de datos, el nombramiento de un delegado de protección de datos en las firmas legales, sólo será necesario en el caso de grandes despachos que traten datos personales especiales "a gran escala". Cada bufete deberá valorar si los tratamientos de datos que realiza son a gran escala o no, ya que se trata de un concepto indeterminado del RGPD. Ante esta falta de definición, Piñar insiste en la necesidad de que se apruebe la nueva Ley de Protección de Datos "para que se desvelen las incertidumbres que plantea el reglamento europeo".
La formación del personal en la cultura de protección de datos, es también fundamental en los bufetes. Así como, la fijación de protocolos para cumplir con la obligación que impone el RGPD de notificar en un plazo máximo de 72 horas a la AEPD de que se ha producido una fuga de información y en su caso a los afectados.
Consiga aquí, gratis hasta el 31 de mayo, una guía con los conceptos clave que has de dominar para proteger tus derechos de privacidad con el nuevo Reglamento, de aplicación a partir del 25 de mayo.
La AEPD, consciente de la importancia de la ciberseguridad en los despachos, ha elaborado una guía sobre cómo deben gestionar una brecha de seguridad. A continuación recogemos los puntos esenciales en la prevención de las fugas de información:
- Clasificar la información. En función de su nivel de confidencialidad y de diversos parámetros, como el valor que tiene para la organización, el impacto que puede generar su filtración, su nivel de sensibilidad o si se trata de información personal o no.
- Delimitar la difusión de la información. Establecer el perímetro dentro del cual podrá ser difundida y su nivel de confidencialidad. Gracias a ello se podrá determinar quién puede y debe conocer la información y qué tipo de acciones puede realizar sobre ella. Esto se conoce como principio del mínimo conocimiento.
- Formación. Es responsabilidad del bufete proporcionar a su plantilla y colaboradores la formación necesaria para que puedan desempeñar su función de forma segura, responsable y diligente con los recursos que la firma pone a su disposición, como servicios en la nube, dispositivos móviles, el correo electrónico, las redes sociales o la simple navegación por internet.
- Establecer pautas y procedimientos. Para que todos los trabajadores del despacho sepan cuáles son sus obligaciones en caso de fugas de información
- Confidencialidad. Realizar acuerdos de confidencialidad para que el futuro empleado, acepte por escrito las políticas y condiciones de privacidad y seguridad aplicables al bufete.