Deber de secreto – LOPD en despachos de abogados


Tercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo al deber de secreto y a la responsabilidad del despacho al respecto.

Deber de secreto en despachos de abogadosEl deber de secreto y responsabilidad del despacho

Según la normativa en materia de protección de datos personales, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es decir, están obligados al secreto y al deber de guardar esos datos, el despacho como persona jurídica, los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal.

El deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia el exterior del despacho, como internamente a personas que no tengan necesidad de conocer esa información durante la prestación de servicios.

El incumplimiento del deber de secreto constituye una infracción grave según la normativa en materia de protección de datos personales.

Comunicación de datos

Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar. Esto se aplica directamente al caso de comunicación de datos a los procuradores.

El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable, por lo que deberán explicarse al interesado los medios para revocar dicho consentimiento.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

De no observar lo anterior, sepa que estaría incumpliendo su deber de secreto.

Acceso a los datos por cuenta de terceros

No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al bufete.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar e indicaciones de cualquier otra índole sobre el tratamiento de los datos.

De no observar lo anterior, estaría incumpliendo su deber de secreto para con sus clientes. Incluso podría incurrir en falta disciplinaria por vulnerar el secreto profesional.

Responsabilidad activa y deber de secreto

Como ya les expliqué en mi anterior artículo, los bufetes deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías establecidas por la normativa en materia de protección de datos.

En lo tocante al deber de secreto, el despacho deberá asegurar:

  • Que todos los integrantes del despacho conocen el deber de guardar secreto respecto a los datos de carácter personal.
  • Que está procedimentado el consentimiento del cliente para comunicar sus datos personales, en los casos necesarios, a procuradores, administración de justicia y cuantos otros puedan verse involucrados en la prestación del servicio.
  • Que están procedimentadas las cláusulas legales exigibles a aquellas empresas o profesionales que prestan servicios al despacho en lo tocante a la protección de datos de carácter personal.
  • Que existen procedimientos de seguridad de la información encaminados a evitar en lo posible una comunicación de datos no autorizada, así como la destrucción o sustracción de datos de carácter personal.

No se preocupe si esto le puede parecer complejo, porque se lo iré desgranando en detalle a lo largo de esta serie de artículos.

Publicación de sentencias

Si merece la pena detallarles en este artículo la particularidad de la publicación de sentencias judiciales a través de medios del despacho, ya que es muy habitual querer demostrar los casos de éxito con el fin de atraer a potenciales nuevos clientes.

Tenga en cuenta que, según lo anterior, si publica una sentencia en la que figuren datos de carácter personal, y no dispone de consentimiento expreso de cada una de ellas, no podrá publicarlas, so pena de incurrir en una comunicación ilegal de datos de carácter personal, penada con fuertes multas. Esto es así porque la publicación de estos datos es susceptible de afectar a la honorabilidad y la privacidad de los afectados, independientemente de lo legítimo de la acción judicial.

Por ello, antes de publicar cualquier sentencia deberá someterla a un proceso de disociación, esto es, la eliminación o sustitución de todos los datos de carácter personal y referencias a una persona física que permitan su identificación. Lo normal es tachar nombres o sustituirlos por las iniciales.

Así mismo, en el caso de sentencias en el que figuran datos de personas jurídicas, podrá publicarlas sin temor alguno, a no ser que esté limitado por cláusulas de confidencialidad pactadas con su cliente. Aunque no sean datos de carácter personal, por deferencia para con su cliente, le recomiendo que solicite previamente su consentimiento.

Recomendaciones

La primera recomendación que le hago, querido lector, es que use el sentido común. Cuente siempre con contratos firmados con todos aquellos terceros con acceso a la información personal de sus clientes. Cuente también con cláusulas contractuales para con los integrantes del despacho que les obliguen al cumplimiento del deber de secreto. En definitiva, implemente medidas que permitan delimitar la responsabilidad en caso de una filtración, robo o destrucción de información de carácter personal.

Como segunda recomendación, preocúpese de momento de los “por qué” y los “para qué”. En próximos artículos les explicaré con más detalle cómo implementar este tipo de medidas, todas ellas muy ligadas al concepto de seguridad de la información.

Les espero en la próxima entrega: “Calidad de los datos en el despacho profesional

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

dos × cuatro =