Derecho de Familia, Sucesiones y Herencias, Violencia de Género, Derecho Inmobiliario y arrendamientos, Derecho Administrativo.

phone icon+34 91 310 36 33
divider

¿Cómo impacta el RGPD en tu Despacho?

separator

¿Cómo impacta el RGPD en tu Despacho?

/ 0 Comments /

Datos de personas físicas

Tanto abogados como procuradores, para el ejercicio de su labor profesional pueden tratar una gran cantidad de datos personales de sus clientes o de la parte contraria, y entre ellos, pueden tratar con aquellos datos catalogados como especiales por ser especialmente sensibles. Así por ejemplo:

• Podrán conocer datos sobre infracciones penales o administrativas en el ámbito de cualquier juicio del orden penal o administrativo;

• Datos sobre origen étnico o racial en los casos de extranjería,

• Datos de salud por una reclamación por un accidente de tráfico, laboral, o reclamación por daños y perjuicios en el ámbito sanitario;

• Datos de menores en el ámbito por ejemplo de un contencioso matrimonial, extranjería o del derecho de familia. Ahora bien, si la actividad del profesional está orientada al trabajo con empresas, en ese caso, se deberá prestar atención a los datos personales de directivos, y empleados que pueda tratar.

Inventario de tratamientos

A partir de la entrada en obligatoriedad del RGDP (25 de mayo 2018), deja de ser obligatoria la inscripción de ficheros en el Registro General de la Agencia Española de Protección de Datos. Sin embargo, habrá que mantener un inventario con los tratamientos de datos que se realicen tanto en calidad de responsable del tratamiento, como de encargado. En este documento constarán:

• El responsable del tratamiento y el Delegado de Protección de datos, en su caso

• La actividad del tratamiento

• La finalidad

• Las categorías de interesados

• Las categorías de datos personales

• Las cesiones de datos

• Las transferencias internacionales

• El periodo de conservación

• Las medidas de seguridad

En cualquier caso, se trata de un registro dinámico que habrá que ir adaptando según evolucione la actividad del despacho.

Hojas de encargo

El RGPD establece nuevas obligaciones y refuerza otras que ya se venían contemplando en la LOPD. En este sentido, las hojas de encargo deberán contemplar una cláusula informativa indicando al cliente qué se hará con sus datos y las finalidades del tratamiento (art. 13 y 14 RGPD ). Así, se ha de informar sobre:

• La identidad y datos de contacto de responsable del tratamiento (abogado, procurador, etc.), y en su caso, los datos del delegado de protección de datos.

• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, esto es, por ejemplo, el ejercicio de reclamaciones en vía judicial y la base jurídica, la ejecución del contrato.

• Los destinatarios de los datos.

• Los derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD

• La comunicación de los datos si es un requisito legal y de si esta obligado el afectado de facilitar los datos y consecuencias de no hacerlo.

Asimismo, el profesional deberá cumplir el principio de licitud del tratamiento, según el cual, el tratamiento solo será conforme a RGPD si cumple al menos una de las siguientes condiciones:

• Si el responsable ha obtenido el consentimiento inequívoco del cliente para tratar sus datos para cada una de las finalidades;

• Que el tratamiento sea necesario para la ejecución del contrato en el que el interesado es parte;

• Que el tratamiento sea necesario para el cumplimiento de una obligación legal del responsable;

• El tratamiento sea necesario para proteger intereses vitales del interesado u otra persona física;

• El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público;

• El tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.

Además, cuando se trate de datos de categorías especiales (salud, infracciones penales, menores, etc.) se deberá contar con el consentimiento expreso, salvo que concurra alguna de las circunstancias del apartado 2 del art. 9, como por ejemplo, que el tratamiento sea necesario para la formulación, ejercicio o defensa de reclamaciones.

En este sentido es interesante destacar como ejemplo que, cuando además de la propia prestación del servicio profesional del abogado, se vayan a recabar los datos del cliente para acciones comerciales, se deberá informar de ello específicamente y se deberá recabar su consentimiento para esta finalidad.

Análisis de Riegos

Se trata de un cambio importante a la hora de cumplir la norma, ya que este requisito no venía establecido en la LOPD. Antes de realizar cualquier tipo de tratamiento de datos, como por ejemplo, el envío de comunicaciones comerciales, se ha de realizar un análisis de riesgos para determinar la criticidad del tratamiento, y verificar las medidas de seguridad a adoptar.

En determinadas ocasiones, como las que se indican en el art. 35 del RGPD (por ejemplo, tratamiento de categorías especiales de datos), se deberá realizar una Evaluación de Impacto en la Protección de Datos Personales (EIPD). Por ejemplo, en el caso de los tratamientos realizados por abogados, por la actividad que realizan y el riesgo que podría suponer para los derechos y libertades de los clientes, sería aconsejable realizar EIPD en aquellos tratamientos en los que haya, entre otros:

• Datos relativos a infracciones administrativas y penales

• Datos relativos a datos de salud

• Datos relativos a menores o personas con discapacidad

En el resto, no será necesario realizar una EIPD pero sí el análisis de riesgo antes de comenzar a realizar dicho tratamiento.

Confidencialidad

En consonancia con lo establecido en el RGPD, los datos que tratan los abogados en el desarrollo de su actividad profesional serán en muchos casos datos de los incluidos en las categorías especiales. Son por ello especialmente sensibles, por lo que es necesario garantizar la confidencialidad sobre los mismos y establecer las medidas jurídicas, técnicas y organizativas pertinentes. En este sentido, los trabajadores, colaboradores, así como cualquier persona que pueda acceder a dicha información deben firmar, entre otros, un compromiso de confidencialidad.

Custodia de la información en papel y electrónica

En la custodia de información tanto en papel como en digital, se deberá salvaguardar tanto el deber de confidencialidad, como los principios de integridad, disponibilidad y resiliencia de los servicios y sistemas que tratan datos personales. En este sentido, se deberán aplicar las técnicas (como el cifrado de datos o la seudonimización) y organizativas que garanticen una seguridad acorde a la criticidad de los datos que se tratan. Para determinar esa criticidad, el RGPD establece que deberán realizarse análisis de riesgos por tratamientos de datos que se realicen.

Notificación de las brechas de seguridad

Cuando se produzca una brecha de seguridad en la cual se vean afectados datos personales y dicha brecha pueda constituir un riesgo para los derechos y las libertades de las personas físicas, se tendrá que notificar la situación a la Agencia Española de Protección de Datos.

En este sentido, las medidas de seguridad como el cifrado de la información son relevantes, ya que si la información se encontrara cifrada, al no poder ser conocidos los concretos datos personales tras la brecha, no sería necesario notificar tal brecha.

La notificación a la autoridad de control deberá hacerse dentro de las 72 horas siguientes de producirse o conocerse, a menos que, como se ha indicado, sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas físicas (art. 33 RGPD).

En cualquier caso, la propia entidad tendrá que documentar el incidente para valorar la situación a efectos de una posterior gestión de la crisis.

 

 

 

 

noticias.juridicas.com

separator