Debido a mi profesión estoy en contacto continuo con abogados y procuradores, y me sorprende la gran cantidad de despachos que aún no cumplen con las obligaciones impuestas por la LOPD, ni siquiera las más evidentes de cara al público. Sorprende aún más que, la mayoría, no conoce que requisitos y obligaciones debe implantar para cumplir con esta ley.Adaptarse a las obligaciones en materia de protección de datos es más fundamental que nunca cuando se trata de expertos en leyes.
En primer lugar, por la importancia que, en la sociedad actual, tiene la salvaguarda de la privacidad personal, especialmente cuando se trata de datos sensibles, como los que se ponen a disposición de un abogado; y, en segundo lugar, por la confianza que se va a trasmitir a los clientes, que presuponen de un abogado un cierto conocimiento y adaptación a la Ley de Protección de Datos. Además, cualquier cliente con conexión a Internet puede comprobar si cumple muchas de las obligaciones que impone la ley, como por ejemplo si están inscritos los ficheros en el registro de la AEPD.
Por eso, hoy quiero dedicar una entrada a explicar qué medidas se deben adoptar en este tipo de despachos, que no son otras que las de aplicación general, pero explicadas u orientadas a abogados y procuradores.
1. Nivel de seguridad:
Antes de nada es fundamental conocer qué tipo de datos se tratan, ya que éstos determinarán el nivel de seguridad exigible: básico, medio o alto.
Centrándonos en un despacho de abogados, en la mayor parte de los casos los datos tratados serán de nivel medio o alto:
Serán de nivel medio los relativos a la comisión de infracciones administrativas o penales; también aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de éstos.
Serán de nivel alto los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como aquellos que contengan datos derivados de actos de violencia de género.
2. Inscripción de ficheros en el Registro de la Agencia Española de Protección de Datos.
La inscripción se hace a través de la página web de la Agencia, de forma gratuita, mediante la obtención del formulario NOTA.
La situación mas común es compartir despacho varios abogados (despachos colectivos) que trabajan de forma independiente, existiendo tantos responsables del tratamiento como abogados, por lo que, cada uno de ellos deberá inscribir un fichero a su nombre.
Si se trata de una firma de abogados que funciona como empresa, será ésta la responsable del tratamiento, de manera que solo será necesario inscribir los ficheros a nombre de la firma, y no de cada abogado por separado.
3. Elaboración del documento de seguridad:
Se trata de un documento que contiene todas las medidas de seguridad, técnicas y organizativas, para garantizar la seguridad de los datos. Las medidas de seguridad serán distintas en función de los datos tratados, que cómo ya hemos explicado, serán normalmente de nivel medio o alto.
En el caso de despachos colectivos, cada abogado, responsable del tratamiento, deberá tener su propio documento de seguridad.
Las medidas incluidas en el documento de seguridad deberán implantarse de forma efectiva, y dicho documento deberá estar siempre actualizado.
4. Consentimiento y deber de información para el tratamiento de datos:
A pesar de que la regla general es la obtención del consentimiento previo para el tratamiento de los datos, en la relación cliente-abogado estamos ante una de las excepciones previstas en la LOPD: existencia de un contrato, precontrato o relación negocial.
De lo que no está exento el abogado es de informar al cliente de una serie de extremos, señalados en el artículo 5 de la LOPD. Es el denominado “deber de información”. Este deber se cumple a través de la inclusión de “cláusulas informativas” en las hojas de encargo, propuesta de servicios, contrato, etc... También se pueden elaborar formularios de recogida de datos que contenga esta cláusula.
Redactar esta cláusula es una labor sencilla, podemos apoyarnos en modelos o propuestas ya redactadas, siempre teniendo en cuenta que se incluyen todos los extremos recogidos en el artículo 5, que son:
1. La existencia de un fichero o tratamiento de datos, la finalidad de la recogida de los datos y los destinatarios de la información.
2. El carácter obligatorio o facultativo de su respuesta: Los campos obligatorios suelen señalarse con un asterisco (*).
3. Las consecuencias de la obtención de datos o de la negativa a suministrarlos: Que sucedería en el caso de que el cliente no proporcione todos o alguno de los datos del formulario.
4. La posibilidad de ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición): Es necesario poner a disposición del cliente algún medio sencillo y gratuito para ejercer estos derechos, por ejemplo, teléfono, correo electrónico, dirección postal...
5. La identidad y dirección del responsable del tratamiento.
5. Calidad de los datos.
El tratamiento y recogida de datos debe adecuarse al principio de calidad de los datos, es decir, el abogado debe actuar conforme a una serie de reglas:
- Se prohíbe la recogida de datos por medios fraudulentos o ilícitos. Debe hacerse sin engaños o fraudes.
- Los datos deben recogerse para unas finalidades concretas, y no podrán utilizarse para otras distintas a las que el interesado prestó el consentimiento.
- Los datos recogidos deben ser proporcionados con la finalidad perseguida, por ejemplo, sería excesivo recoger datos acerca de la tendencia religiosa de un cliente que acude a un abogado por una sanción de tráfico.
- Los datos deben ser exactos y estar puestos al día, de forma que correspondan con la situación actual del cliente.
Deberá existir en el despacho un procedimiento para permitir a los clientes ejercer los derechos de acceso, rectificación, cancelación y oposición. Los medios que se pongan a disposición del cliente deberán ser gratuitos: teléfono, correo electrónico, dirección postal, etc. Este procedimiento deberá aparecer detallado en el documento de seguridad.
7. Acceso a datos por cuenta de terceros:
En determinados casos, el abogado va a acceder a datos de terceras personas. Esto sucede, por ejemplo, cuando un cliente proporciona al abogado datos de sus trabajadores para que lleve sus asuntos laborales.
En este caso, existirá un tratamiento por cuenta de terceros, siendo el abogado el “encargado del tratamiento” y deberá existir un “contrato de acceso a datos por cuenta de terceros”, que haga mención expresa a los extremos regulados en la ley, entre otros: que el abogado únicamente tratará los datos conforme a las instrucciones del cliente, que no los aplicará o utilizará con un fin distinto del que figure en el contrato, ni los comunicará a otras personas; las medidas de seguridad que el abogado está obligado a implementar; obligación de guardar secreto; que una vez finalizada la prestación los datos de carácter personal deberán ser destruidos o devueltos al cliente…
8. Envío de publicidad:
Como regla general, para enviar publicidad a los clientes será necesario contar con su consentimiento. Si bien existen excepciones y será distinto si la publicidad se envía por medios electrónicos o por vía postal.
Para más información leer: Requisitos legales para enviar publicidad por email o vía postal.
9. Comunicación con los clientes a través de Whatsapp:
Es conveniente evitar el intercambio de información abogado-cliente a través de medios como Whatsapp, especialmente cuando se trate de información sensible, ya que ésta pasa a terceros no autorizados.
Para más información acerca de la utilización de esta aplicación : Comunicación con nuestros clientes a través de Whatsapp.
10. Servicios en la nube:
Cada vez son más los abogados que utilizan servicios de cloud computing para la gestión de los documentos del despacho. Es importante saber que no todos los servicios de este tipo que existen en el mercado (especialmente los gratuitos) cumplen con lo que impone la legislación española. Por ello, si queremos hacer uso de servicios en la nube es necesario estudiar las alternativas y elegir el que se adecue a nuestras necesidades.
Para más información sobre las exigencias legales en los servicios de cloud computing: Dropbox y LOPD, su uso por empresas y profesionales.
11. Página web:
Si el despacho cuenta con una página web (o un blog) es necesario adaptar la misma a la LOPD y LSSI, incluyendo los textos legales que exige la ley (¿Qué textos legales son obligatorios en una página web?).
Normalmente una página web informativa para un despacho de abogados deberá incluir un aviso legal (siempre), una política de privacidad (si tiene formularios de contacto) y una política de cookies (si la web instala cookies).
La adaptación de la página web es fundamental, ya que cualquier persona con acceso a Internet podrá comprobar si se cumplen con los requisitos impuestos por la ley.
12. Auditoría:
Finalmente, los despachos de abogados, por tener ficheros de nivel medio y alto, deberán realizar una auditoría, al menos, una vez cada dos años. Esta auditoría puede ser interna o externa, y consistirá en verificar el cumplimiento de las medidas vigentes en materia de seguridad de los datos.
muy completa y clara la información para adaptar nuestro bufete de abogados en seguros a la normativa. saludos
ResponderEliminarCoincido, muy buena información y como siempre se agradece el tiempo para hacer las publicaciones. saludos
ResponderEliminar