El despacho de abogados como responsable y encargado de ficheros

Por Javier Aparicio. Socio de Cuatrecasas Gonçalves Pereira
Sergio Sanfulgencio. Abogado de Cuatrecasas Gonçalves Pereira

Conforme a la Ley Orgánica de Protección de Datos (LOPD) el responsable del fichero o de su tratamiento es aquella persona que decide sobre la finalidad y el uso de los datos personales. Un despacho, con carácter general, será, cuando menos, responsable de tres ficheros: personal (abogados y otros profesionales), clientes y proveedores.

A su vez, al gestionar la información que le facilitan sus clientes, el despacho actúa también como encargado del tratamiento, procesando los datos en nombre y por cuenta de aquellos.

EL DEBER PROFESIONAL DE SECRETO

El secreto profesional que obliga a los abogados es reflejo del derecho de defensa de sus clientes y prohíbe revelar la información que éstos le confíen. Lo impone la Ley Orgánica del Poder Judicial como obligación y derecho (no se puede exigir al abogado su revelación). Desvelar dicha información supone una deslealtad hacia el cliente y una infracción del deber legal, castigada en el Código Penal incluso con la inhabilitación para el ejercicio de la profesión.

En cambio, en el ámbito de la protección de datos, el deber de secreto obliga al despacho como responsable del fichero y a su personal respecto de los datos de carácter personal. Su incumplimiento lo sanciona la LOPD.

Por tanto, el deber profesional de secreto es más amplio en su objeto (protege cualquier dato, no solo personal) y más restringido en su ámbito subjetivo (sólo se aplica a los abogados).

EL DESPACHO COMO RESPONSABLE DEL TRATAMIENTO

Datos del personal

Adicionalmente a la gestión ordinaria del personal, los grandes despachos suelen  organizar un fichero (la intranet) con datos de contacto de sus profesionales (nombre y apellidos, funciones o puestos, email, ubicación, teléfono y fax) para facilitar el acceso a modo de directorio, de forma que todos puedan consultar dicha información sin necesidad de llevar personalmente una agenda para tenerlos a mano.

A este respecto, el artículo 2.2 del Reglamento de desarrollo de la LOPD (RPD) dispone que, siempre que el fichero se limite a incluir la información arriba mencionada, no será necesario aplicarle las garantías de protección de datos; pero en cuanto se incluya cualquier otro tipo de información (una fotografía, especialidad, idiomas, etc.) o se destine a una finalidad distinta al simple contacto profesional, el RPD será plenamente aplicable. No obstante, cabe citar la Sentencia del TS de 21 de mayo de 2014 (Sala de lo Civil) que declara que ni la Directiva 95/46 ni la Carta Europea de Derechos Humanos niegan a los empresarios los derechos fundamentales, doctrina que pone en duda la aplicabilidad de la mencionada excepción.

Nivel de seguridad del fichero de nóminas

Siguiendo con el fichero de personal, según el artículo 81 del RPD, a pesar de contener datos de afiliación sindical, de discapacidad o invalidez u otros especialmente protegidos, no es preciso aplicar las medidas de nivel alto si dicha información se trata, respectivamente para el pago de cuotas sindicales, para el cumplimiento de obligaciones públicas o cuando su tratamiento es incidental a la finalidad del fichero.

La Agencia Española de Protección de Datos (AEPD) interpreta esta regla de forma extensiva y la aplica en el ámbito laboral a más datos de los estrictamente contemplados.

Ficheros en papel

El  RPD regula las medidas de seguridad aplicables a los ficheros en papel.

Obviamente, el volumen de papel que incluye información personal que se acumula en un despacho es muy importante, por lo que es necesario instalar sistemas de tratamiento que potencien el archivo electrónico y que la información que tenga que conservarse en papel necesariamente se gestione con el apoyo de un archivo externo, incluso confiado a terceros, destruyendo con garantías de confidencialidad todo aquello que no sea preciso conservar, para evitar la acumulación de papel en las oficinas del despacho.

La práctica demuestra que los problemas de seguridad más graves que han sucedido en España están relacionados con los ficheros en papel (expedientes médicos, judiciales y de personal que han aparecido en la basura en ocasiones). Esto es así porque resulta muy difícil controlarlos, fallando con frecuencia las medidas de seguridad aplicadas.

Las medidas consisten básicamente en el establecimiento de unos criterios de archivo que garanticen la correcta conservación y localización de los documentos, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en el establecimiento de mecanismos que obstaculicen la apertura del lugar en que se almacenan.

Adicionalmente, cuando la documentación se encuentre fuera del archivo por estar en proceso de revisión o tramitación, la persona que esté a su cargo deberá custodiarla e impedir que personas no autorizadas accedan a ella.

En el caso de que se trate de ficheros que contengan datos de nivel alto, los archivadores deberán encontrarse en áreas donde el acceso este protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Los ficheros estarán sujetos a auditoria como mínimo bienal, deberá autorizarse expresamente la realización de copias y el acceso a los archivos deberá limitarse exclusivamente al personal autorizado.

Tratamiento de datos en Internet

Frecuentemente, los despachos habilitan una página web informativa. Esto les convierte en prestadores de servicios de la sociedad de la información conforme a la Ley de servicios de la sociedad de la información (LSSI).

Cualquier prestador de servicios debe facilitar cierta información al usuario conforme al artículo 10 de la LSSI “a través de medios electrónicos, de forma permanente, fácil y gratuita». La práctica más extendida es incluir dicha información en la página web a través del denominado “aviso legal”.

Adicionalmente, si la página web del despacho incluyera un apartado destinado a la recopilación de currículos o si facilitase la posibilidad de prestar servicios directamente a través de medios online recabando datos personales, deberían cumplirse las obligaciones de información de la LOPD además de las de la LSSI.

En efecto, en estos casos el despacho no solo sería un prestador de servicios de la sociedad de la información, sino que también ostentaría la condición de responsable del tratamiento.

Por otra parte, para enviar comunicaciones comerciales por vía electrónica, la LSSI establece unas limitaciones más estrictas que las de la LOPD. Así, es necesario:

–        identificar toda comunicación comercial como tal y a la persona que la realiza;

–        contar con la autorización del destinatario salvo que exista una relación contractual previa, e

–        incluir la posibilidad de que el receptor se oponga mediante un procedimiento sencillo y gratuito.

EL DESPACHO COMO ENCARGADO DEL TRATAMIENTO

Es evidente que un despacho no sólo trata datos de carácter personal como responsable de determinados ficheros, sino que, en múltiples ocasiones, lo hará en calidad de encargado, por cuenta de sus clientes (responsables de dicho tratamiento), ya que los servicios que presta un despacho hacen necesaria la entrega de la información oportuna para la defensa de los intereses de los clientes, entre la que habrá, como es lógico, datos de carácter personal.

Por ello, el encargo de cada caso al despacho debe incluir por escrito las condiciones establecidas en el artículo 12 de la LOPD.

A este mismo respecto, es importante citar la Sentencia de la Audiencia Nacional de 15 de octubre de 2013 que afirma que un abogado no tiene la obligación de atender los derechos de acceso, rectificación, cancelación y oposición en el caso de que no haya constituido un fichero con la información facilitada por su cliente, lo que genera la duda de si, en caso contrario, sí estaría obligado a atender tales solicitudes, lo que contradiría el deber de secreto profesional y ocasionaría un perjuicio importantísimo al derecho a la defensa de su cliente.

Operaciones de compra de sociedades

Existe una cuestión más compleja relacionada con este problema: la elaboración de las denominadas due diligences (auditorias sobre la situación jurídica en que se encuentran las empresas en proceso de adquisición por un tercero). Estas auditorías se confían normalmente a los despachos y son previas a una operación de compraventa. Resulta lógico que para acordar la operación, la empresa que se va a adquirir permita a los potenciales compradores que accedan a todo tipo de información (también de carácter personal) para que puedan valorarla y hacer su oferta en consecuencia.

Sin embargo, esta práctica resulta de difícil encuadre en la LOPD, ya que los despachos actúan por encargo de los potenciales compradores y, por ello, son éstos quienes acceden a dicha información del vendedor por medio de sus abogados para realizar la auditoria legal, lo que supone una cesión de datos que tiene que estar consentida por los interesados o autorizada legalmente.

Una solución sería la obtención por parte de la vendedora del previo consentimiento de los interesados, informándoles de la cesión y, en consecuencia, de la intención de vender. Sin embargo, esta estrategia es inviable. La solicitud del consentimiento de los titulares afectados haría depender la operación de su permiso, lo que la hace impracticable.

Tampoco resuelve este problema la disociación de los datos para eludir la prohibición legal, ya que este proceso resultaría sumamente costoso y complicado y, en muchos casos, impediría a la adquirente tener la seguridad de estar evaluando correctamente la empresa, al acceder a información limitada.

Otra solución podría ser que el adquirente potencial seleccionara al despacho por confianza, pero que fuera el vendedor quien le contratara como encargado del tratamiento, de modo que el despacho actúe en nombre y por cuenta del vendedor entregando a este el informe (que no tiene porqué contener datos personales) y que el vendedor se lo facilite al comprador potencial. Sin embargo, no puede ignorarse que este sistema resulta muy difícil de entender.

Datos de la contraparte

Otro aspecto que merece la atención es el hecho de que en muchas ocasiones los abogados acceden a datos relativos a personas contra quienes sus clientes pretenden ejercer acciones legales.

Dado que el uso de esa información es absolutamente necesario para el ejercicio del derecho a la defensa, que comparte con la protección de datos el carácter de derecho fundamental, la AEPD siempre ha considerado que en estos supuestos el derecho a la protección de datos debe ceder frente al de defensa, de modo que el tratamiento de dichos datos no puede verse condicionado a la obtención del consentimiento de la persona a quien se refieren, ya que esa limitación dejaría plenamente sin contenido el derecho a la defensa.

CONCLUSIONES

En definitiva, el ejercicio de la abogacía está tan afectado por la LOPD como cualquier otro profesional que desarrolle una actividad que implique el tratamiento de datos de carácter personal, salvo las contadas especialidades que establecen las normas sectoriales.