Conoce Atico34 - Solicita presupuesto
AbogadosSectores

Protección de datos para despachos de abogados y procuradores

El RGPD y la LOPDGDD afectan a todo tipo de profesionales que traten datos personales de clientes. En este artículo te hablamos sobre la protección de datos para abogados y procuradores. ¿Qué hacer para adaptar tu despacho o bufete a la normativa vigente? ¿Cómo puede ayudarte Atico34?

En esta guía de protección de datos para abogados te contamos cómo implantar las medidas que imponen el RGPD y la LOPDGDD.

¿Están obligados los despachos de abogados a cumplir la normativa de protección de datos?

Sí, los despachos de abogados y procuradores están obligados a cumplir la normativa de protección de datos, puesto que en el desempeño de su actividad tratan con datos personales de diferentes categorías, incluidas categorías especiales. Incluso cuando su área de trabajo son las sociedades, los despachos de abogados pueden tratar datos de carácter personal de empleados, directivos, etc.

Normativa de protección de datos aplicable a los despachos de abogados y procuradores

La normativa de protección de datos para abogados y procuradores está recogida tanto en el Reglamento General de Protección de Datos (RGPD) como en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

RGPD para abogados

El RGPD establece el marco europeo para la protección de datos personales en toda la UE y es de obligado cumplimiento para toda entidad que trate con datos de personas físicas, sea a través de tratamientos automatizados o no.

En vigor desde 2016 (aunque en España no lo hizo hasta 2018), el RGPD establece una serie de principios y derechos de la protección de datos, así como obligaciones y requisitos a cumplir por los responsables y encargados del tratamiento (es decir, las entidades que manejan datos personales por su cuenta o por cuenta de otros, respectivamente), para garantizar la seguridad y confidencialidad de los datos personales los ciudadanos de la UE.

Entre las novedades que introdujo el RGPD, y que pueden atañer a los despachos de abogados y procuradores, está la distinción entre datos personales de carácter general y datos de categorías especiales; estos segundos requieren una mayor protección y, salvo las excepciones contempladas en el artículo 9.2 del RGPD, en principio está prohibido su tratamiento.

LOPDGDD para abogados

La LOPDGDD es la normativa española en materia de protección de datos, mediante la cual se adaptó el RGPD al ordenamiento jurídico español, de manera que su contenido es muy similar, si bien amplía y profundiza en algunos aspectos que el Reglamento europeo trata de una forma más general (puesto que los Estados miembros tienen margen de maniobra para adaptarlo a su legislación).

De manera que al cumplir la LOPDGDD, abogados y procuradores cumplen también con el RGPD.

tarifas proteccion datos

¿Cómo adaptar el despacho de abogados a la normativa de protección de datos?

Para adaptarse a la normativa de protección de datos, abogados y procuradores deberán seguir estos pasos.

Cumplir Normativa LOPDGDD y RGPD para abogados

¿Cómo cumplir la Normativa de protección de datos en despachos de abogados?

Obtención del consentimiento

Desde la entrada en vigor del RGPD y la LOPDGDD, es necesario, siempre que se vaya a realizar un tratamiento de datos personales, obtener el consentimiento expreso de los interesados (los titulares de los datos). El consentimiento, junto a la relación contractual o dar cumplimiento a la prestación de un servicio contratado, son las bases legitimadoras para que abogados y procuradores puedan tratar los datos personales de sus clientes.

La obtención de este consentimiento expreso es fundamental cuando se vayan a tratar datos de categorías especiales.

El consentimiento se debe recoger de manera que quede constancia de ello, por lo que es recomendable hacerlo a través de la firma de un formulario o cláusulas incluidas en el contrato de servicios.

Registro de actividades de tratamiento

El registro de actividades de tratamiento es un documento en el que se recogen todos los tratamientos de datos personales que se lleven a cabo en el despacho o bufete de abogados. Si bien, la normativa establece que solo deberán realizarlo empresas con más de 250 personas trabajadoras o cuando se dé uno de los siguientes requisitos:

  • El tratamiento suponga un riesgo para los derechos y libertades de los interesados
  • Se realizan tratamiento de datos personales de manera sistemática
  • El tratamiento corresponda a datos de categorías especiales o de naturaleza penal

Por lo tanto, en despachos de abogados pequeños que no cumplan uno de esos puntos, no necesitarán llevar el registro de actividades de tratamiento, para los que sí lo hagan, este documento debe siempre estar actualizado y, en caso de que la AEPD (Agencia Española de Protección de Datos) u otra entidad de control autorizada lo pida, facilitárselo.

El registro de actividades de tratamiento, como mínimo, contendrá la siguiente información:

  • Datos identificativos del responsable del tratamiento
  • Finalidad del tratamiento
  • Descripción de las categorías de interesados y de las categorías de datos personales
  • Categorías de destinatarios a quienes se comunicarán los datos (existentes o previstos)
  • Si se producirán transferencias internacionales de datos y sus garantías
  • Plazo de conservación de los datos
  • Cuando sea posible, descripción de las medidas de seguridad adoptadas

Realizar el preceptivo análisis de riesgos

Con carácter previo a llevar a cabo un tratamiento de datos personales, será necesario realizar el preceptivo análisis de riesgos, para determinar las amenazas y riesgos para la protección de datos que se pueden derivar de la realización del tratamiento.

Los resultados del análisis de riesgos servirán al despacho de abogados y procuradores para diseñar e implantar las medidas de seguridad necesarias y adecuadas para minimizar o eliminar dichos riesgos.

Firma de contratos de encargo de tratamiento

Si en algún momento, el abogado o despacho de abogados deben ceder datos personales de sus clientes a terceros (por ejemplo, un perito forense), será necesario que con esos terceros se firme un contrato de encargado de tratamiento (además de asegurarse de que cumple también con la normativa de protección de datos). En este contrato se especificarán los datos que se cederán, la finalidad del tratamiento, las medidas de seguridad a adoptar y el plazo de conservación. En ningún caso, el encargado del tratamiento podrá usar los datos cedidos con un fin diferente al acordado.

Confidencialidad de los trabajadores del bufete

Los abogados, por su actividad profesional y código deontológico, están obligados a guardar una máxima confidencialidad relativa a sus casos y clientes.

No obstante, nuestra recomendación es que adicionalmente se firme un acuerdo de confidencialidad relacionado con esta normativa. Es básico para cumplir con la protección de datos en despachos de abogados.

También se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a los datos, debido a la criticidad de los datos para las libertades y derechos de los clientes.

Debemos tener en cuenta que los datos que se tratan en un despacho de abogados pueden llegar a ser muy sensibles y que para cumplir debidamente con la LOPDGDD y el RGPD en despachos de abogados es fundamental mantener la debida confidencialidad.

Forma a los responsables de departamento que traten datos personales

Se deberá formar a los responsables de los departamentos que traten datos para que estos sepan tratar a los mismos conforme a la normativa.

Informar a los interesados

Entre las exigencias de la protección de datos personales para abogados también está informar a los afectados sobre el tratamiento de sus datos personales:

  • Identidad y datos de contacto del letrado o procurador responsable
  • Datos de contacto del delegado de protección de datos
  • Nombre del responsable
  • Destinatarios de los datos, como, por ejemplo, otros abogados colaboradores, peritos, procurador, etc.
  • Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, es decir, el fin de tratamiento será la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial
  • Derechos ARSULIPO de los interesados (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición), incluyendo el interponer una reclamación ante la AEPD
  • Comunicación de los datos si es un requisito legal y de si está obligado el afectado de facilitar los datos y consecuencias de no hacerlo

Obligaciones si el despacho de abogados tiene página web

Si el despacho de abogados tiene una página web, deberá cumplir con las obligaciones que establece la normativa para ellas, es decir, debe incluir en ellas, en apartados accesibles desde cualquier página o subpágina de la misma:

  • Aviso legal:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • N.º de inscripción en el Registro Mercantil / N.º de colegiado en caso de ser autónomo
  • Política de privacidad, que debe incluir toda la información relativa a la gestión de los datos personales en la web:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Cómo se gestionan los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros
    • Uso de cookies
    • Vía para ejercer los derechos ARSULIPO
  • Política de cookies con toda la información relativa a ellas (finalidad, titulares, conservación, tipos, etc.). También se debe poner un aviso de cookies que permite al visitante aceptarlas o denegarlas y acceder desde él a la política de cookies.

Notificar brechas de seguridad

El abogado o despacho de abogados deberá notificar una brecha de seguridad, cuando haya afectado datos personales y constituya un riesgo para los derechos y las libertades de las personas físicas.

Se deberá informar de ello tanto a la AEPD como a los interesados cuyos datos se hayan visto afectados, para lo que se dispone de un plazo máximo de 72 horas.

Designar un delegado de protección de datos (DPO)

No todos los despachos de abogados y procuradores deben tener un DPO. El Delegado de Protección de Datos obligatorio solo deberá designarse cuando:

  • Participa en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales
  • Gestiona fondos, valores, cuentas corrientes u otros activos
  • Organiza las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas
  • Crea y gestiona fideicomisos («trusts»), sociedades o estructuras análogas
  • Actúa por cuenta de clientes en cualquier operación financiera o inmobiliaria

en que consiste la nueva figura del delegado de proteccion de datos. rgpd

¿Te suenan estas actividades específicas? ¿Pueden tener relación con la prevención del blanqueo de capitales y financiación del terrorismo?

Efectivamente, solo has de contar con un Delegado de Protección de Datos si por las actividades que realizamos somos sujetos obligados de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Si es así, también tendrás que registrar un fichero denominado prevención del blanqueo de capitales y financiación del terrorismo (PBC y FT) y dejar constancia del mismo en el registro de actividades del tratamiento.

Informar del plazo de conservación de los datos

El RGPD, mediante el principio de responsabilidad proactiva (accountability), obliga a informar del plazo de conservación de los datos, lo que implica establecer un plazo para proceder a la supresión o destrucción de los datos.

En líneas generales los plazos de conservación de la documentación que suelen tratar abogados y procuradores en el ejercicio de sus funciones son:

  • 4 años en caso de mandato tributario
  • 5 años si no cuentan plazo de prescripción especial

Estos plazos se determinan para los expedientes en caso de ejercitar acciones futuras para depuración de responsabilidades profesionales.

Auditorías periódicas de protección de datos

Pese a que ni el RGPD ni la LOPDGDD dicen literalmente que exista obligación de hacer auditorías periódicas, sí que exigen demostrar que el despacho de abogados y procuradores cuenta con medidas de seguridad adecuadas y efectivas para garantizar la protección de datos. La herramienta más adecuada para ello es la auditoría de protección de datos.

Por lo tanto, sí, los despachos de abogados y procuradores deben hacer auditorías periódicas de protección de datos, idealmente cada dos años o cuando se realicen cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

Este informe de auditoría se puede realizar de forma externa o interna y deberá indicar las deficiencias encontradas y recomendar las medidas correctoras necesarias.

tarifas proteccion datos

Sanciones por no cumplir correctamente LOPDGDD y el RGPD en despachos de abogados

Si tu despacho de abogados no cumple con el RGPD y la LOPDGDD, podrías enfrentarte a sanciones. Las multas dependen de la gravedad de la infracción y pueden llegar a superar los 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior). Para profundizar en las multas a las que puede estar expuesto tu despacho de abogados por no cumplir con la normativa, puedes leer nuestro artículo sobre infracciones y sanciones en protección de datos.

Atico34. Podemos ayudarte a cumplir

En Grupo Atico34 contamos con un amplio equipo de abogados especialistas en protección de datos.

Todos nuestros profesionales cuentan con formación y experiencia específica en esta materia para darte el mejor servicio.

Además, nuestros abogados de protección de datos te ofrecen:

  • Atención personalizada
  • Seguimiento de la implantación de las medidas
  • Comunicación de cualquier novedad que se pueda producir en la normativa
  • Acceso a una herramienta online exclusiva para nuestros clientes

Podemos ayudarte a cumplir con la normativa y evitar sanciones

¿Quieres estar al día con la normativa y evitar sanciones por parte de la AEPD? Implantar estas medidas puede ser complejo si no cuentas con ayuda.

Contacta con nosotros, olvídate de problemas, deja atrás las preocupaciones y adapta tu bufete de abogados a la ley de protección de datos de forma rápida y efectiva.

Precios para que abogados y procuradores se adapten a la LOPDGDD

Adaptar tu despacho a esta normativa no tiene por qué ser caro. En Grupo Atico34 te ofrecemos diferentes tarifas, en función de tus necesidades. Adapta tu despacho de abogados a la LOPDGDD desde 180 € al año*.

Recuerda también que con motivo del Covid-19 te ofrecemos facilidades para el pago. Rellena nuestro formulario de protección de datos para abogados y obtén información sin compromiso.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

Resumen: puntos más importantes para que abogados o procuradores en ejercicio se ajusten a la ley (LOPDGDD/RGPD)

En síntesis, entendemos que es mucha información que asimilar, por lo que a continuación, os proponemos una serie de sencillos puntos para cumplir con la normativa:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Nombrar un Delegado de Protección de Datos en los casos obligados

Esperamos haberte aclarado un poco más este asunto y haberte facilitado la implantación de esta normativa en tu despacho de abogados

No obstante, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Atico34 o llama al Tfno. 91 489 64 19, nuestro despacho de protección de datos estará encantado de ayudarte.