28 enero 2015
Los “nuevos” deberes de los abogados. Protección de datos de carácter personal
José Luis Piñar Mañas. Catedrático de Derecho Administrativo. Abogado
¿Nuevos deberes de los abogados? La Ley Orgánica reguladora del Tratamiento Automatizado de Datos (LORTAD) fue aprobada en 1992 y sustituida en 1999 por la vigente Ley Orgánica de Protección de Datos (LOPD), cuyo Reglamento (RLOPD) data de 2007[1]. Es decir, desde hace más de 22 años (¡casi un cuarto de siglo!) los abogados –como cualquiera que lleve a cabo un tratamiento de datos- tenemos obligación de cumplir con la legislación de protección de datos de carácter personal. Y sin embargo sigue siendo algo que se considera por no pocos como nuevo. ¿Es esto un contrasentido? En mi opinión no, pues pese a la longevidad de la legislación orgánica, lo cierto es que constantemente surgen nuevas cuestiones que hacen de la protección de datos un tema permanentemente nuevo.
Los deberes de los abogados en base a la Ley Orgánica de Protección de Datos y su Reglamento
Hay deberes que ni siquiera deberían ser reiterados o recordados. Los abogados y despachos de abogados, en cuanto responsables de ficheros o tratamientos de datos, deben notificar la creación de ficheros (no es necesaria la notificación de meros tratamientos) a la Agencia Española de Protección de Datos (AEPD), que procederá a inscribirlos si la notificación se ajusta a los requisitos exigibles[2]. Deben implantar las correspondientes medidas de seguridad (luego volveré sobre ello) y deben establecer los protocolos para atender los derechos de acceso, rectificación, cancelación y oposición (que deben atenderse en plazos muy breves: un mes más diez días en el caso del derecho de acceso –art. 29.1 y 2 del RLOPD-; diez días para los derechos de rectificación y cancelación, así como el de oposición –art. 32.2 y 35.2, respectivamente, del Reglamento-). Además, deben informar adecuadamente a todos los interesados acerca de los tratamientos de datos que llevan a cabo (arts. 5 y 27 de la LOPD, y concordantes del Reglamento), lo que ha de hacerse mediante las correspondientes cláusulas informativas. Por otra parte, en caso de que ellos mismos lleven a cabo algún tratamiento de datos por cuenta de terceros o encarguen ese tratamiento a un tercero, deberán suscribir el correspondiente contrato de encargado de tratamiento, tal como prevé el artículo 12 de la LOPD y los artículos 20 a 22 del Reglamento. Algo de enorme importancia que no siempre se tiene en cuenta y que puede acarrear graves consecuencias en caso de incumplimiento (por ejemplo, si tratamos datos de terceros por cuenta de nuestro cliente, lo que es habitual, no es preciso contar con el consentimiento de aquéllos si hemos suscrito un contrato de encargado con éste; por el contrario, la falta de contrato hace que la comunicación de los datos de terceros requiera de habilitación , que por regla general suele ser el consentimiento de los afectados, pues de otro modo la comunicación puede llegar a ser considerada como una cesión inconsentida de datos). Este supuesto es diferente al caso de que para la debida defensa de los derechos e intereses de los clientes sea necesario obtener datos de terceros (por ejemplo de la contraparte) sin su consentimiento, datos que los propios clientes pueden facilitar si los han obtenido legítimamente, sin que ello suponga en este caso cesión inconsentida, pues entra en juego la habilitación legal derivada de la prevalencia del derecho fundamental a la defensa y a la tutela judicial, que reconoce el artículo 24 de la Constitución.
En particular, las medidas de seguridad
Como he dicho más atrás, la cuestión de las medidas de seguridad es especialmente relevante. Si bien en la LOPD apenas encontramos algún artículo sobre el tema (principalmente el art. 9), el Reglamento dedica todo un Título, el VIII (arts. 79 a 114), a regular las medidas de seguridad en el tratamiento de los datos. Como es sabido son tres los niveles de tales medidas, básico, medio y alto, en función, sobre todo, de la naturaleza de los datos sometidos a tratamiento. El art. 81 del RLOPD es en este punto esencial. Cada abogado o despacho deberá evaluar los datos que maneja para determinar el nivel de seguridad que ha de implantar. En cualquier caso, es necesario recordar, por un lado, que en todo caso debe elaborarse el documento de seguridad (art. 88 del Reglamento) y han de implantarse las medidas de nivel básico, que incluyen, entre otras, la obligación de realizar, al menos semanalmente, copias de respaldo y la obligación de establecer procedimientos para la recuperación de datos (art. 94 del RLOPD). Por otro lado, no hay que olvidar que los ficheros relativos a la comisión de infracciones administrativas o penales requieren medidas de nivel medio y los que contengan datos derivados de violencia de género, o de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (datos estos no extraños a no pocos ficheros de abogados) han de implantar las de nivel alto. Pero en relación con los últimos basta las de nivel básico cuando “se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad” (art. 81.5).
Los nuevos deberes
Hasta aquí la reseña del panorama que con carácter general rige los deberes principales que los abogados y despachos de abogados han de cumplir en el tratamiento de datos de carácter personal (sin olvidar lo referente al régimen de transferencias internacionales, por supuesto, que no siempre les afecta, pero que no debe descuidarse). Pero el ejercicio de la Abogacía nos ofrece nuevas realidades que afectan de lleno al régimen de la protección de datos. Veamos tan sólo algunas de ellas.
Páginas web de los abogados y despachos y uso de cookies
Hoy es frecuente que abogados y, sobre todo, despachos utilicen páginas web propias. Pues bien, en este punto es esencial tener en cuenta la regulación que sobre las cookies recoge la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI). En la medida en que los abogados y despachos puedan ser considerados prestadores de servicios de la sociedad de la información, y según el art. 22.2 de la LSSI, podrán utilizar dispositivos de almacenamiento y recuperación de datos (cookies) en equipos terminales de los destinatarios, pero sólo a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la LOPD.
El uso de servicios de cómputo en la nube o cloud computing. Las redes sociales
También es frecuente que utilicen las redes sociales y los servicios de cómputo en la nube o cloud computing. En el primer caso debe evitarse cualquier tratamiento de datos relacionado con el ejercicio concreto de la actividad profesional que tenga que ver con las relaciones con los clientes. En el segundo es imprescindible que los servicios que se ofrezcan o reciban se ciñan a la normativa sobre protección de datos.
Como sabemos el cloud computing es un modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de recursos compartidos y configurables (como redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor de servicios. Para atender los desafíos del uso del cloud computing por los abogados y su relación con la protección de datos, la AEPD y el Consejo General de la Abogacía han elaborado conjuntamente el documento Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal[3](del que he tomado la definición anterior).
Hemos de partir de la base de que el cómputo en la nube es esencial, vital casi, para el desarrollo de los servicios que prestan abogados y despachos de abogados, con una notable reducción de costes y una mayor, mejor y más eficaz gestión de la información. Pero con no pocos interrogantes en materia de protección de datos, sobre todo en cuanto al cumplimiento de la normativa por el prestador de servicios de cloud y las responsabilidades que puede asumir el beneficiario de los servicios en caso de incumplimiento. Algo que puede revestir especial gravedad en relación con las medidas de seguridad implantadas por el proveedor de servicios de cloud.
En este sentido es necesario llamar la atención acerca de la inconveniencia de utilizar sistemas de comunicación o intercambio de ficheros (correo electrónico, whatsapp, dropbox…) que impliquen tratamientos de datos relacionados con el ejercicio profesional y que no reúnan las medidas de seguridad requeridas por la LOPD y su Reglamento. Mucho menos si se tratan datos que exijan la adopción de medidas de seguridad de nivel alto, entre las que se encuentra la obligación de cifrar los datos cuando se transmitan “a través de redes públicas o redes inalámbricas de comunicaciones electrónicas” (art. 104 del RLOPD).
Nuevos principios de protección de datos y evaluación de impacto a la privacidad
En relación con las alternativas o posibilidades que hoy se ofrecen a los abogados y despachos para la gestión de la información y el tratamiento de datos personales deben traerse a colación algunos principios de protección de datos que cada vez se implantan con mayor intensidad. No me refiero a los que podríamos llamar principios clásicos tales como los de información, legitimación del tratamiento, finalidad, calidad del dato, o seguridad, que por supuesto siguen teniendo toda su vigencia, sino los más recientes de privacy by design o privacidad desde el diseño, privacy by default o privacidad por defecto y accountability o responsabilidad, que prefiero denominar principio de compromiso responsable. En definitiva se trata de incorporar desde el principio y por defecto la perspectiva de la protección de datos en todos los casos en que vaya a producirse un tratamiento de datos. A tal fin responden las llamadas Privacy Impact Assessments o Evaluaciones de Impacto a la Privacidad. Precisamente la AEPD acaba de hacer pública una tan útil como interesante Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD)[4]que se enfrenta a las consideraciones que han de tomarse en relación con el tratamiento de datos, que requiere una evaluación de impacto o “análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos”.
La propuesta de nuevo Reglamento Europeo de Protección de Datos
Precisamente estas nuevas perspectivas son objeto de atención en la propuesta de Nuevo Reglamento General de Protección de Datos de la Unión Europea, cuyo primer texto se presentó en enero de 2012[5], que vendrá a sustituir a la actual Directiva 95/46/CE sobre protección de datos, y que según parece podría estar más cercano a su aprobación, sobre todo tras el paréntesis que supusieron las últimas elecciones europeas y el impulso decidido que está dando la presidencia rotatoria italiana de este segundo semestre de 2014. El nuevo Reglamento, que va a suponer un importante cambio en la regulación de la protección de datos, deberá ser muy tenido en cuenta por los abogados y despachos de abogados, pues ya sólo su forma jurídica (Reglamento, en lugar de Directiva) hará que sea de directa e inmediata aplicación desde su entrada en vigor. Teniendo en cuenta, además, que una de las más destacables novedades sería la implantación de la figura del Data Privacy Officer, o Delegado de Protección de Datos, sin que por el momento se hayan fijado, en forma definitiva, los casos en que tal Delegado será necesario.
Nuevos retos
En fin, los deberes de los abogados y despachos en el ámbito de la protección de datos no dejan de presentarse de forma novedosa, lo que requiere una constante atención y una formación continua en la materia[6]. Cuestiones como la ciberseguridad, el big data, el internet de las cosas[7], el derecho al olvido[8] (ver página 55) o la vigilancia por motivos de seguridad[9], son otras tantas que los abogados han de tener en cuenta, no sólo porque pueden afectar a sus deberes de cumplimiento en materia de protección de datos, sino porque sin duda afectan a sus deberes como defensores del respeto a los derechos fundamentales, y en particular del derecho a la protección de datos.
[1] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de la Ley Orgánica de Protección de Datos.
[2] Dado que los abogados y despachos de abogados son responsables de ficheros de titularidad privada están sujetos al control y supervisión de la AEPD, no de las Agencias Autonómicas (en la actualidad, tras la supresión de la de Madrid, sólo Cataluña y País Vasco cuentan con su propia Autoridad o Agencia, respectivamente): vid. art. 41 de la LOPD. No son muchos los abogados o despachos que tienen inscritos sus ficheros en la AEPD. A fecha 8-12-2014, eran 10.373 los ficheros con la denominación “abogado” o “abogados”. Cierto que este dato no es en absoluto indicativo o fiable pues pueden ser otras muchas las denominaciones utilizadas para la inscripción, pero no deja de ser relevante. Vid. http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/resultado_busqueda_privada-ides-idphp.php. El número en efecto debe ser mucho mayor pues en octubre de 2014, según los datos de la propia Agencia, había inscritos un total de 86.175 ficheros referentes a “actividades jurídicas, notarios y registradores”. De ellos, 8.112 corresponden a ficheros notariales, sin que haya datos individualizados respecto a los registradores (que obviamente han de ser menos). Vid. http://www.agpd.es/portalwebAGPD/ficheros_inscritos/estadisticas/common/pdfs/2014/est201410.pdf
[5] Puede verse alguna información, no completa, sobre la propuesta de nuevo Reglamento, en http://ec.europa.eu/justice/data-protection/review/index_en.htm. También, en relación con el texto aprobado por el Parlamento Europeo el pasado mes de marzo de 2014, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//ES
[6] En esta línea se mueve el Convenio firmado entre el CGAE y la Universidad CEU-San Pablo de Madrid para organizar y ofrecer actividades formativas a los abogados y a los Colegios de Abogados en materia de Protección de datos a partir de principios de 2015.
[7] Ver, del Grupo Europeo de Autoridades de Protección de Datos, llamado Grupo de Trabajo del Artículo 29, su interesante Opinion 8/2014 on the on Recent Developments on the Internet of Things, de 16 de septiembre de 2014, que puede consultarse en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
[8] Sobre todo tras la Sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, Asunto C‑131/12, Google contra Agencia Española de Protección de Datos y Mario Costeja, que puede consultarse en http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=ES. Sobre la aplicación de la Sentencia véase el Documento del Grupo de Trabajo del Artículo 29, de 26 de noviembre de 2014, sobre directrices dirigidas a las Autoridades de Protección de Datos: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf . Google por su parte ha facilitado un formulario para ejercer el derecho a la desindexación de contenidos del buscador y ha constituido un Comité Internacional de Expertos independientes, del que tengo la oportunidad de formar parte, para proponer directrices sobre cómo aplicar correctamente la sentencia. Vid. https://www.google.com/advisorycouncil/
[9] Sumamente interesante es el documento del reiterado Grupo del Artículo 29 sobre Surveillance of electronic communications for intelligence and national security purposes, de 5 de diciembre de 2014. Vid. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp228_en.pdf