¡Pide presupuesto en 2 min! ✓
AbogadosSectores

Protección de datos para abogados y procuradores. Guía para cumplir el RGPD

10 Mins read

Una de las principales cuestiones que deben tener en cuenta los abogados y procuradores, por los datos críticos que puede tratar de un cliente, es la normativa de protección de datos.

¿Trabajas en un despacho de abogados y te han encomendado la protección de datos? ¿O eres procurador de los tribunales? Entonces creo que encontraras este post interesante e instructivo.

 

Normativas

Un abogado y un procurador, para el ejercicio de sus funciones recoge numerosa información transcendental relativa a sus clientes, ya que conoce aspectos específicos de la persona, como datos sobre infracciones penales anteriores, procedimientos judiciales en activo o datos de salud ante una reclamación por un accidente,

Hablamos siempre de datos de personas físicas.

Si nuestra actividad es principalmente con sociedades solo deberemos tener espacial guarda cuando tratemos datos de empleados, directivos, etc.

Al tratar datos personales de terceros, ya sean clientes o empleados, los abogados deben cumplir entonces con:

RGPD

Lo que se pretende con esta nueva normativa europea es conseguir un marco único comunitario para la protección de datos.

Una de las principales medidas que trae consigo es la disminución de los tramites administrativos, haciendo más ágil el cumplimiento de la normativa para todos aquellos que ejerzan la abogacía o procuradoría.

¡Pero no todo iba a ser más fácil! Con esta nueva norma, habrá que adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo con los de tus clientes.

Nuevas obligaciones para los despachos de abogados y procuradores en ejercicio

Son varias las nuevas obligaciones que los abogados deben realizar para garantizar el cumplimiento del RGPD en su despacho o boutique legal.

Obtención del consentimiento

A partir de la entrada en vigor del reglamento se necesita el consentimiento inequívoco, no tácito, del cliente para el uso de sus datos.

Además para determinados datos como las infracciones penales o datos de salud se deberá contar con consentimiento expreso para dicho tratamiento en particular.

Nuevas cláusulas

Se deberán actualizar las cláusulas de los contratos, ya que mediante el principio de accountability o rendición de cuentas, se debe solicitar a los terceros que contratamos para que nos presten un servicio un certificado de cumplimiento de la normativa.

Asimismo, se debe dar mayor información a las personas que tratamos sus datos, lo cual trataremos en mayor profundidad.

Confidencialidad de los trabajadores

Los datos que se tratan en un despacho de abogados pueden llegar a ser muy sensibles.

Es necesario que los trabajadores firmen un compromiso de confidencialidad.

Además dicho compromiso advertirá de las sanciones motividado por su incumplimiento.

No obstante los Colegiados del sector deben guardar la correspondiente confidencialidad que les exige su práctica jurídica.

Notificación violación de seguridad

Deberemos notificar una brecha o violación de seguridad si por la misma se han visto afectados datos personales  constituya un riesgo para los derechos y las libertades de las personas físicas.

Elección de proveedores

Como comentamos anteriormente, se deberá elegir de forma responsable al externo que accede a los datos de los que somos responsables.

Este nos deberá garantizar y demostrar el cumplimiento de la normativa por su parte.

Si nosotros cumplimos con la normativa ellos también deben hacerlo.

Códigos de conducta y certificados

Desde esta normativa, se promueve las certificaciones y los códigos de conducta, mediante los cuales se pueda demostrar el cumplimiento de la normativa.

Solicitar presupuesto

DPO

El nacimiento de la figura del D.P.O, es una de las principales de la normativa.

No siempre deberemos tener esta figura, solo en ciertos casos, los cuales explicaremos en el apartado de Como implantar.

EIPD

Se debe realizar un análisis de riesgos previo al tratamiento.

Para ciertos tratamientos de datos, como el de datos sensibles, este análisis deberá revestir la forma de una Evaluación de Impacto en la Protección de Datos Personales (EIPD).

Nuevos derechos

Los antiguos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son ampliados con dos nuevos:

  • derecho al olvido
  • portabilidad de los datos

LOPDGDD

Es primordial tener claro que se aplacaran las obligaciones y las medidas de seguridad que deberemos implementar en función de los datos que tratamos.

Debido a la actividad de un despacho de abogados, puede poseer datos sensibles, como son los de salud, infracciones penales…  por lo que en esos casos deberemos llevar a cabo las siguientes cuestiones.

Cómo implantar el RGPD y la LOPD en un despacho de abogados y/o procuradores

como tienen que cumplir la normativa rgpd y lopd los abogados

En primer lugar quiero dejar claro que no se esta obligado a contar con un asesor especialista para cumplir con la normativa.

Pero si buscas tranquilidad, debido a que ambas normas pueden llegar a resultar muy complejas, y que se pueden escapar, muchas veces, a nuestros conocimientos, es altamente recomendable contar con asesoramiento experto, ya que con ello conseguiremos evitar “sustos” por desconocimiento de algunos preceptos.

En ambos casos, los pasos para el proceso de implantación de la normativa en Protección de Datos serán los siguientes.

Los datos personales personales. Identifícalos.

En primer lugar hay que identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • empleados
  • clientes
  • testigos
  • expertos externos
  • procuradores
  • proveedores

A continuación, se deberá clarificar la finalidad para la que se usan esos datos.

Determinar el nivel de seguridad

Ya identificados los ficheros y los datos, deberemos pasar a analizar los riesgos que supone tratar esos datos en nuestra actividad para poder adoptar las medidas de seguridad adecuadas.

Esta evaluación es muy importante ya que no se da el mismo el riesgo en el tratamiento en los datos de los empleados que en el de los clientes.

La Evaluación de Impacto en la Protección de Datos

En el caso particular de los abogados, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de nuestros clientes, el RPGD nos obliga a realizar una Evaluación de Impacto de ciertos tratamientos, como por ejemplo:

  • los relativos a infracciones administrativas y penales
  • relativos a datos de salud  para reclamaciones

En el resto deberemos realizar el preceptivo análisis de riesgos antes del comienzo del tratamiento.

que es una evaluacion de impacto. rgpd

¿Cómo se realiza una EIPD?

Estaría encantado de decir que es sencillo y fácil.. ¡pero no!

Realizar  una Evaluación de Impacto de los tratamientos que se dan un despacho de abogados correctamente requiere de bastante tiempo y un nivel de conocimientos avanzados en la materia.

Hay que destacar que antes, en caso de inspección la AEPD solicitaba el Informe de Auditoría, ahora te reclamaran la EIPD.

Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.

Registro de actividades de tratamiento

Las actividades en las que se traten datos personales deberán registrarse internamente por el abogado o procurador. Este documento es conocido como Registro de las Actividades de Tratamiento.

Redactar el Documento de Seguridad

Este resume todo aquello relativo al tratamiento de datos personales dentro de nuestra actividad profesional:

  • como los ficheros inscritos
  • empleados que acceden a los datos
  • sistemas de seguridad instalados
  • medidas de seguridad aplicable
  • registro de incidencias

Firma del compromiso de confidencialidad

Ya hemos mencionado que, los abogados, por su actividad profesional y código deontológico, están obligados a guardar una máxima confidencialidad relativa a sus casos y clientes.

No obstante, nuestra recomendación es que adicionalmente se firme un acuerdo de confidencialidad relacionado con esta normativa.

Pero ¡importante!,  también se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a los datos debido a la criticidad de los datos para las libertades y derechos de los clientes.

Formar al personal crítico

Se deberá formar a los responsables de los departamentos que traten datos para que estos sepan tratar a los mismos conforme a la normativa.

El Delegado de Protección de Datos

Como antes comentamos no siempre deberemos contar con un DPO en nuestro despacho.

La normativa es clara y solo nos exige contar con un DPO si:

  • participamos en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales
  • gestionamos de fondos, valores u otros activos
  • abrimos o gestionamos cuentas corrientes, cuentas de ahorros o cuentas de valores
  • organizamos de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas
  • creamos y gestionamos fideicomisos («trusts»), sociedades o estructuras análogas
  • actuamos por cuenta de clientes en cualquier operación financiera o inmobiliaria

en que consiste la nueva figura del delegado de proteccion de datos. rgps

Blanqueo de capitales

¿Te suenan estas actividades específicas?¿ Pueden tener relación con la prevención del blanqueo de capitales y financiación del terrorismo?

Efectivamente, solo deberemos contar con el Delegado de Protección de Datos si por las actividades que realizamos somos sujetos obligados de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

¡Atento! Si es así deberemos también registrar un fichero denominado prevención del blanqueo de capitales y financiación del terrorismo (PBC y FT) y dejar constancia del mismo en el Registro de las Actividades de Tratamiento.

Informar a los propietarios de los datos

Se debe informar a los afectados por nuestro tratamiento de sus datos personales de, al menos

  • la identidad y datos de contacto del letrado o procurador responsable
  • (en su caso) los datos de contacto del delegado de protección de datos
  • el nombre del responsable
  • destinatarios de los datos, como, por ejemplo, otros abogados colaboradores, peritos, procurador, etc
  • los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, es decir, el fin de tratamiento será la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD
  • la comunicación de los datos si es un requisito legal y de si esta obligado el afectado de facilitar los datos y consecuencias de no hacerlo

Plazos de conservación de los datos

Una de las novedades que nos presenta el RGPD, mediante su principio de responsabilidad proactiva (Accountabilty), es la necesidad de informar del plazo de conservación de los datos.

En líneas generales los plazos de conservación de la documentación que suelen tratar abogados y procuradores en el ejercicio de sus funciones son :

  • 4 años en caso de mandato tributario
  • 5 años si no cuentan plazo de prescripción especial

Estos plazo se determinan para los expedientes en caso de ejercitar acciones futuras para depuración de responsabilidades profesionales.

Auditorías periódicas

Además en nuestro caso, como abogados, debido al nivel de datos que tratamos estamos obligados a hacer auditorías bienales como mínimo.

La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

Este informe de auditoría se puede realizar de forma externa o interna y deberá indicar las deficiencias encontradas y recomendar las medidas correctoras necesarias.

Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Análisis de riesgos

No obstante, con el RGPD, a partir del 25 de mayo, esta obligación desaparece, pero desde nuestra perspectiva profesional entendemos que sería una buena práctica de análisis de riesgos la realización periódica de auditorías que determinen el estado de nuestra entidad en cuanto al cumplimiento de la normativa.

Solicitar presupuesto

Preguntas frecuentes que solemos recibir por parte de abogados

¿Que tipo de consentimiento me tiene que firmar mis clientes para que pueda tratar su datos?

En los casos que se traten datos sensibles, como hemos mencionado con anterioridad, el consentimiento debe se ser explítico, es decir con una clara acción afirmativa por parte del cliente así como también específico para dichos tratamientos

Por ejemplo, si en primer lugar recabamos el consentimiento para tratar sus datos con la finalidad de representación ante los tribunales y, más adelante queremos utilizar dichos datos para una campaña de marketing (porque ampliamos a otras actividades el despacho) u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

¿Es necesario que cuente con un DPO?

Despacho de abogados

Un despacho de abogados deberá contar con la figura del Delegado de Protección de Datos siempre que por las actividades que se realicen semos sujetos obligado de la Ley de Prevención de Blanqueo de Capitales.

Hay que destacar que como alternativa a contratar un DPO externo se puede disponer de un delegado interno.

Es decir, alguien del despacho que pueda acreditar formación en materia de protección de datos y pueda asumir las funciones de DPO.

No es obligatorio que cuente con la certificación de la AEPD, pero si recomendable, ya que nos aseguramos que cuenta con la formación requerida para poder realizar todas las funciones  que se le exigen a un DPO.

Procuradores

No será necesario que los procuradores cuenten con un DPO, ya que su actividad no viene recogida en los numero clausus de la ley.

No obstante es importante que se tenga formación en protección de datos, si el procurador es autónomo,

Si se trata de un despacho de procuradores, se deberá nombra a un responsable el cual deberá tener también formación en la materia.

¿Que medidas de seguridad debo aplicar a mis sistemas?

Debido al deber de confidencialidad bajo el que están enmarcados los casos que actuamos, deberemos aplicar una medidas de seguridad acordes a esa criticidad.

Se deben aplicar medidas que garanticen:

  • confidencialidad
  • disponibilidad
  • integridad
  • resiliencia (capacidad que tiene un sistema de recuperarse de un ataque o brecha) de los servicios y sistemas que tratan datos personales

Como, por ejemplo se deberán, utilizar mecánicas de cifrado de información, anonimización de los datos, protocolos seguros de accesos remotos, etc.

¿Cuanto tiempo puedo guardar los datos personales?

Dependerá del tipo de datos que tratamos, aunque el plazo general para el almacenamiento de expedientes de abogados y procuradores es de al menos 5 años.

No obstante, puedes hacer click en el siguiente enlace para conocer muchos más plazos de conservación.

¿Puedo usar aplicaciones como whatsapp para enviar datos de mis clientes?

El el últimos años, y con el avance de la tecnología, lleva existiendo este debate.

La comunicación de datos personales confidenciales (como nombre del testigo o del perito) mediante mensajes electrónicos no cifrados está prohibido,  ya que no se aplican las meidas de seguridad exigidas en leyes de Protección de Datos.

Directrices para comunicaciones electrónicas con datos relativos a mis casos

  • Los despachos de abogados deben implementar políticas para impedir el uso de mensajes de texto no seguros tanto entre los propios abogados como con los clientes para comunicar información confidencial de los casos
  • El envío de documentación a través de mensajes SMS u otro tipo de mensajes seguros no cifrados está prohibido

Resumen de los puntos para que un abogado y un procurador en ejercicio cumplan la LOPD y el RGPD

En síntesis, entendemos que es mucha información que asimilar, por lo que a continuación, os proponemos una serie de sencillos puntos para cumplir con la noramtiva:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Elaborar el Documento de Seguridad
  8. Nombrar un Delegado de Protección de Datos en los casos obligados

 

Esperamos haberte aclarado un poco más este asunto y haberte facilitado la implantación de esta normativa en tu despacho de abogados

No obstante,  si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34 o llama al Tlf 91 489 64 19, uno de nuestros expertos estará encantado de atenderte.

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.