ANALISIS DE LOS REQUISITOS EXIGIDOS POR LA LEY ORGANICA DE PROTECCIÓN DE DATOS (LOPD) PARA DESPACHOS DE ABOGADOS Los despachos de abogados han tenido que adaptarse a las nuevas tecnologías de la información y comunicación como consecuencia de trasladar su modelo personalista al de empresas de servicios legales. La adaptación de los despachos de abogados a la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de carácter personal (LOPD), y a su Reglamento aprobado por el Real Decreto 1720/2007, de 21 de Diciembre, requiere un profundo análisis sobre la casuística que se desprende de la actividad que desarrollan. El objeto de este documento es informarles sobre las soluciones que aporta la plataforma web ISCLOPD para resolver todas las exigencias contempladas por la LOPD para un despacho de abogados. Tipos de despachos La forma en la que un despacho de abogados organiza el tratamiento de los datos personales de sus clientes, empleados y otros afectados tiene una trascendencia capital, ya que la fórmula elegida afectará de forma directa a la figura del responsable del fichero. Suele ser frecuente que las firmas de abogados se constituyan como una sociedad mercantil, con independencia de que existan otras formas de organización tales como las cooperativas o las agrupaciones de interés económico. Es decir, podemos considerar que existen dos grandes grupos: 1. Por una parte, los despachos colectivos donde existen varios abogados que comparten un mismo local y nombre comercial o corporativo, pero que mantienen su independencia con respecto a su cartera de clientes. En estos casos el responsable del fichero es cada uno de los profesionales. 2. Y por otra, los despachos organizados como empresa cuyos profesionales tienen consideración de empleados y en consecuencia los clientes contratan con la firma y no con el profesional. En este caso, es evidente que el responsable del fichero es la propia firma, empresa o sociedad profesional. Por todo ello, debemos tener presente que el responsable del tratamiento es el que decide sobre la finalidad, contenido y uso del tratamiento de los datos personales, es decir, quien aparezca como titular de la relación jurídica establecida con el cliente. Caso 1º En este caso existirán tantos responsables del tratamiento, como abogados formen parte del despacho colectivo, pues cada uno de los integrantes del despacho es titular de la relación jurídica establecida con sus clientes. Esta situación genera ciertas dificultades en su organización, así como fricciones con respecto a la seguridad de los datos, ya que debe definirse claramente si la transmisión de la información dentro del propio despacho se considera cesión o comunicación de datos, o bien tan sólo es necesario el contrato que autorice el acceso para tratar dichos datos, apareciendo en este último caso la figura del encargado del tratamiento. Por estos motivos la consideración de encargados del tratamiento para los abogados que comparten un mismo despacho adquiere una importancia vital, pues a lo dicho anteriormente hay que añadir el hecho de que los soportes donde se encuentran los ficheros de datos personales suelen compartirse por varios responsables. Caso 2º Como ya hemos dicho, cuando el despacho de abogados funciona como una empresa que se constituye como titular de la relación jurídica con el cliente será considerada responsable del fichero. Esta situación facilita sin duda el cumplimiento de los requisitos exigidos por la LOPD. En estos casos la firma o despacho de abogados suele colaborar con otros abogados externos por razón de su especialidad en una determinada materia de Derecho. No se trata por tanto de derivar los asuntos, sino a llevarlos de forma conjunta. Estas situaciones deben contemplarse con un análisis profundo para determinar si se trata de cesión de datos al colaborador o la función de este se limita al acceso a los datos en calidad de encargado del tratamiento, así como el lugar donde desarrollará su actividad de colaboración (su despacho o el local de la firma), las medidas de seguridad que el responsable del fichero le impone, la posibilidad de subcontratar parte de su colaboración o prohibición de la misma, etc… Obligaciones de un despacho de abogados Una vez delimitada la figura del responsable del fichero o tratamiento, tanto en despachos colectivos como en firmas de abogados, pasaremos a comentar las obligaciones que deben cumplirse en todos los despachos de abogados. Inscripción de ficheros. La primera obligación con respecto al cumplimiento de la normativa de protección de datos es notificar los ficheros a la Agencia Española de Protección de Datos para que se inscriban en su registro general. Por su puesto, esta obligación de carácter formal no presupone de ninguna manera el cumplimiento del resto de las obligaciones previstas tanto en la Ley como en el Reglamento, si bien a de ser previa al uso de los ficheros y al inicio del tratamiento. ISCLOPD establece de forma automática todos los ficheros que deben tratarse en un despacho de abogados. Documento de seguridad. El documento de seguridad del despacho es un documento interno que recoge todos los procedimientos de actuación y medidas de seguridad conducentes al cumplimiento de todos los requisitos exigidos por la LOPD. Resulta evidente que en los despachos colectivos, cada abogado responsable del fichero deberá disponer de su correspondiente documento de seguridad. También es importante resaltar que el documento de seguridad tiene un carácter dinámico, pues deberá estar permanentemente actualizado, tal y como establece la Ley, definiéndose para ello determinados controles periódicos que detallamos en el anexo adjunto “Controles periódicos del documento de seguridad”. ISCLOPD proporciona de forma automática los distintos documentos de seguridad que sean necesarios para cada responsable del fichero o tratamiento. Calidad de los datos. El despacho de abogados debe asegurarse de recoger los datos de carácter personal solo para cumplir las finalidades determinadas, explícitas y legítimas para las cuales son recabados, debiendo ser exactos y reflejando la situación actual del afectado. Debiendo eliminar total o parcialmente los ficheros que contienen dichos datos cuando hayan dejado de ser necesarios. ISCLOPD facilita esta comprobación. Legitimación del tratamiento y la cesión de los datos El despacho de abogados deberá solicitar los consentimientos necesarios para tratar y ceder los datos de aquellos ficheros que sea necesario según las exigencias de la Ley. En este sentido la exigibilidad del consentimiento del oponente para el tratamiento de sus datos por el abogado supondría dejar a disposición de aquel el almacenamiento de la información necesaria para que su cliente pueda no ver satisfecha la tutela judicial efectiva, consagrada en el artículo 24 de la Constitución. Tal y como sostienen reiterada jurisprudencia del Tribunal Constitucional “el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionales relevantes, …” ISCLOPD contempla esta circunstancia al emitir de forma automática la correspondiente petición de consentimiento (si procede). Deber de información El abogado deberá acreditar el cumplimiento del deber de informar a todos los interesados o afectados. En relación a la contraparte de sus clientes debemos hacer las mismas consideraciones que las realizadas en el punto anterior con respecto a la petición de consentimiento. ISCLOPD contempla esta circunstancia al ejercer el deber de informar a los interesados o afectados. Encargado del tratamiento El abogado que tenga la consideración de responsable del fichero tiene la obligación de suscribir un contrato con aquellas personas físicas o jurídicas que por cualquier concepto le presten servicios externos al despacho, siempre que para el desempeño de esa actividad sea necesario acceder a datos de carácter personal. ISCLOPD facilita los contratos de encargado del tratamiento necesarios para un despacho de abogados. Derechos ARCO El despacho de abogados o abogado responsable del fichero deberá responder a cualquier petición que reciba de un interesado en relación al acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales. La LOPD establece múltiples requisitos para llevar a cabo la obligación de responder al afectado que ejerce su derecho. ISCLOPD contempla de forma automática el documento de respuesta que debe remitirse al interesado, teniendo en cuenta las características de cada petición y las diversas circunstancias que puedan producirse. Medidas de seguridad El despacho de abogado deberá garantizar la actualización permanente de las medidas de seguridad relacionadas en el documento de seguridad. Para ello la Ley establece que cada responsable del fichero debe llevar a cabo determinados controles periódicos que relacionamos en anexo adjunto. En cada uno de los controles que deben realizarse se indica en la parte derecha las opciones de la plataforma ISCLOPD que permiten realizar esa comprobación. Relación con la nueva Ley 10/2010 de prevención de blanqueo de capitales La Ley 10/2010 aborda cuestiones relativas a determinadas operaciones realizadas por los abogados para prestar servicios a sus clientes, afectándoles a la petición de consentimiento y deber de información. No será necesario obtener el consentimiento del interesado para el tratamiento o comunicación de sus datos, cuando se trate de obligaciones de información contenidas en su capítulo III, ni habrá que ejercer el deber de informar al afectado (previsto en el artículo 5 de la LOPD). En estos casos tampoco serán aplicables los derechos ARCO (acceso, rectificación, cancelación y oposición), si bien el abogado deberá contestar al interesado o afectado manifestándole lo previsto en el artículo 32 de la Ley 10/2010. Otro aspecto a considerar es la obligación que tienen los despachos de abogados de almacenar las copias de los documentos identificativos de los clientes sujetos a la Ley 10/2010 en soportes ópticos, magnéticos, o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, y su adecuada conservación que permita localizarlos sin grandes esfuerzos. Para la entrada en vigor de esta obligación se establece un plazo de dos años a partir de la publicación de la Ley (28 de abril de 2010). Finalmente la mencionada Ley también autoriza al sujeto obligado, en este caso a los abogados para que puedan proceder a la creación de ficheros donde se contengan los datos identificativos de las personas con responsabilidad pública, aun cuando no mantengan con ellas una relación de negocios. A tal efecto los sujetos obligados podrán recabar la información disponible acerca de las personas con responsabilidad pública sin contar con el consentimiento del interesado ni ejercer el deber de información, aún cuando dicha información no proceda de fuentes de acceso público. En cualquiera de los casos mencionados deberán implantarse en los ficheros de datos las medidas de seguridad altas definidas en la LOPD. Conclusión Como puede ver para cumplir los requisitos exigidos por la LOPD no basta con inscribir los ficheros y disponer de un manual que tenga la consideración de documento de seguridad, pues dicho documento interno carece de valor si no está permanentemente actualizado, existiendo en consecuencia el incumplimiento de una Ley cuyo régimen sancionador puede plantear importantes problemas económicos. Con la herramienta que le proponemos, el propio personal del despacho sería el que, con un mínimo esfuerzo e inversión de tiempo, podría mantener esos controles periódicos, ya que disponen de los conocimientos necesarios para ello…