28 enero 2022
La importancia de la protección de datos para la Abogacía
Por el Equipo de Protección de Datos de la Abogacía Española -José Luis Piñar, Luis Pedro de la Fuente, Teresa Granda, Carlos Magdalena, Carlos Núñez, César San Atilano y Miguel Sastre-.
Cuando ya se han cumplido más de 3 años desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales, conviene hacer un pequeño alto en el camino para echar la vista atrás y reflexionar sobre los cambios que desde entonces se han producido en el ámbito de la protección de datos personales. Cambios que vienen de la mano, sobre todo, del Reglamento General de Protección de Datos (RGPD), que va a cumplir seis años.
El modelo europeo de protección de datos: el Consejo General de la Abogacía Española y los abogados ante el principio de responsabilidad proactiva.
Durante estos tres años, ha sido necesario adaptarse al principio configurador del derecho a la protección de datos quizá más innovador de los que prevé el RGPD en su texto. Nos referimos al principio de responsabilidad proactiva recogido en su artículo 24:
“Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”.
Es decir, corresponde a quienes tratan datos personales tomar las medidas que consideren adecuadas y demostrar que con ellas cumplen la normativa y en definitiva respetan el derecho fundamental a la protección de datos. El Consejo General de la Abogacía Española en este sentido ya antes de la plena aplicación del Reglamento designó un delegado de protección de datos y constituyó un equipo de protección de datos (el conocido como Equipo DPO) para hacer frente a las exigencias derivadas del nuevo modelo, y que no solo presta su apoyo el Consejo, RedAbogacia (IT CGAE) y la Fundación al objeto de que cumplan con la normativa sobre protección de datos, sino que colabora con los Colegios y Consejos para atender las cuestiones que puedan ir planteándose en materia de protección de datos e ir generando una cultura de protección de datos cada vez más asentada en la abogacía.
La colaboración con los colegios y consejos tiene mucho que ver con los servicios tecnológicos que el Consejo General ofrece, tales como el correo profesional para los abogados, el Sistema Integral de Gestión de la Abogacía (SIGA), la Autoridad de Certificación de la Abogacía (ACA), Expediente de Justicia Gratuita, Expediente de Nacionalidad por Residencia, Expediente Electrónico de la Abogacía para la digitalización completa del colegio, entre tantos otros.
Por otra parte, en el Plan Estratégico de la Abogacía (Plan Horizonte 2024) está presente la preocupación por la protección de datos, como clara muestra de la proactividad en relación con tal derecho fundamental.
El EJE 1 del Plan, sobre “UNA ABOGACÍA CONFIABLE Y PREPARADA”, en su “Objetivo 2 Arquitectura deontológica eficiente”, recoge la siguiente medida:
“M24 Deontología de abogados responsables de compliance y protección de datos Los responsables de cumplimiento normativo (compliance) y los responsables de protección de datos son dos grandes y nuevas áreas de especialización profesional, de importancia capital para la empresa y la sociedad. Un porcentaje importante de los profesionales en este sector emergente son abogados. Por un lado, los letrados que actúan como Delegados de Protección de Datos realizan una monitorización constante sobre actuaciones que puedan afectar a derechos fundamentales, de conformidad con un número creciente de exigentes normativas sustantivas. Por otro, los abogados que actúan como responsables de cumplimiento normativo velan por el cumplimento de la legalidad así como, en su caso, de normas auto-reguladoras individuales o sectoriales”.
Y en el EJE 3, sobre “UNA ABOGACÍA INNOVADORA Y TECNOLÓGICAMENTE AVANZADA”, dentro del “Objetivo 3 Protección y gestión del conflicto en la sociedad digital”, se recoge la medida M66, que es del siguiente tenor: :
M66 Cumplimiento proactivo de normas de protección de datos, redes seguras y sistemas de información (NIS) El elevado impacto que la normativa europea en materia de privacidad y seguridad podría tener para la profesión y sus instituciones requiere una adaptación rápida por parte del Consejo y los Colegios. Será también necesario darles una mayor difusión entre la Abogacía y otros colectivos legales en colaboración con las agencias competentes. Esto permitirá que el Consejo General trabaje conjuntamente con los organismos reguladores competentes en el desarrollo de guías y documentos orientativos para dar respuesta a las dudas que estas nuevas normas planteen a los abogados. En este punto, el Consejo General debe constituir un ejemplo de diligencia y responsabilidad, tanto frente a los abogados como al propio regulador, además de transformarse en prescriptor en los procesos de transposición de las nuevas normas europeas en esta materia.
En este sentido, el Consejo cuenta con las certificaciones en las normas de ISO2700, en gestión de la seguridad de la información, en el Esquema Nacional de Seguridad y otras certificaciones técnicas en el ámbito de la Autoridad de Certificación de la Abogacía, como son eIDAS y WebTrust.
Colaboración con la Abogacía Europea
Asimismo, la Abogacía y más en concreto, el equipo DPO, no es indiferente a las novedades provenientes de Europa en esta materia y sigue de cerca el trabajo llevado a cabo desde el Comité de Vigilancia de la Abogacía Europea.
Desde el comienzo de la pandemia, el equipo DPO ha hecho un seguimiento del trabajo del Comité y ha supervisado, entre otros, informes que han proporcionado a los abogados europeos orientaciones sobre el uso de herramientas de trabajo a distancia y sobre la realización de procedimientos judiciales a distancia. Asimismo, ha analizado los términos y condiciones de una serie de plataformas digitales de teleconferencia de uso frecuente, con el fin de compararlas y obtener una mejor comprensión de las cuestiones prácticas que surgen en relación con la práctica jurídica.
Además, a través de la supervisión del Comité se han monitorizado las novedades europeas en relación a la protección de datos. Adicionalmente, se ha participado activamente en este ámbito a través de la publicación de posicionamientos, guías, recomendaciones, así como con cartas de apoyo e intervención como parte en juicios sobre la defensa de los derechos fundamentales y de los intereses de los abogados. Entre ellos cabe destacar la recomendación sobre la protección de los derechos fundamentales en el contexto de seguridad nacional, el posicionamiento sobre la defensa de los derechos fundamentales en la legislación sobre pruebas electrónicas o el tratamiento de datos personales por parte de Europol.
Este interés en los asuntos europeos no se realiza únicamente a través del Comité de la Abogacía Europea, si no que dentro del ámbito funcional del equipo DPO, se encuentra el hacer un seguimiento constante de la evolución y desarrollo de la legislación a nivel europeo. Esto permite que la red de profesionales se encuentre permanentemente actualizada en esta materia.
El equipo sigue de cerca la evolución de la ley de gobernanza de datos recientemente adoptada, que entrará en vigor a principios de año y para la cual existen grandes expectativas, dado que es pública su ambición de establecer un “Schengen de los datos”.
Esta Ley de Gobernanza de Datos ha sido solo el primer hito legislativo de la Estrategia Europea de Datos. El segundo paso, más delicado, será la Ley de Datos, cuya aprobación se retrasa hasta el 23 de febrero tras no haber superado una revisión interna. La ley de datos tratará temas especialmente sensibles, como las obligaciones de compartir datos, la monetización de estos y el acceso a los datos por parte de los organismos públicos.
Mientras tanto, los debates en torno al RGPD permanecen activos. Encabezando la reflexión sobre el proceso de adaptación al RGPD que viven los Estados Miembros, se encuentra la autoridad irlandesa de protección de datos, que está recibiendo presiones para que tome medidas decisivas en relación con las grandes tecnologías. Por otro lado, el Supervisor Europeo de Protección de Datos está organizando una conferencia en junio para reevaluar el estado de la aplicación del Reglamento en los estados miembros. Además, se siguen de cerca las espinosas negociaciones sobre el nuevo Escudo de Privacidad con Estados Unidos que aún no han encontrado un expediente legal que pueda resistir la revisión judicial.
Formación y concienciación en materia de protección de datos. Proyecto TRADATA-2
En lo que respecta a la formación de abogados en materia de protección de datos, el equipo DPO colabora con la Delegación en Bruselas en el proyecto de formación TRADATA 2. Este proyecto, cofinanciado por el Programa Justicia de la Unión Europea, tiene como finalidad ofrecer formación actualizada y de calidad a más de 400 abogados y abogadas de ocho Estados miembros. TRADATA 2 versará sobre los instrumentos legislativos europeos más importantes en materia de protección de datos, entre ellos, el Reglamento 2016/679 General de Protección de Datos y la Directiva 2016/680 sobre el tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
La formación se llevará a cabo mediante la organización de 12 seminarios de carácter transnacional en seis Estados Miembros de la UE, la elaboración de material de formación para su uso en los seminarios, y la creación de redes informales de profesionales del derecho de diferentes nacionalidades europeas.
La Abogacía Española se encargará de organizar un seminario en Madrid, que tendrá lugar en noviembre de 2022, de seleccionar abogados españoles para su participación en los seminarios que se lleven a cabo tanto en España como en otros países y, junto con el equipo DPO, de seleccionar a ponentes españoles para su participación en el seminario nacional y en el de otros Estados parte del proyecto.