De interés para el Colegiado

Abogados y Ley de Protección de Datos

Trataré en este artículo de explicar cómo nos afecta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, a nosotros los abogados. Ésta es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Todos los abogados tenemos sin duda alguna información concerniente a personas físicas identificadas o identificables, datos que tenemos organizados y tratamos en nuestra actividad diaria. Así, la LOPD afecta a todos estos datos, independientemente que tengamos esta información en ficheros en formato digital o en papel, usemos un software informático para su tratamiento o no.

Tenemos datos de carácter personal de nuestros clientes, de los contrarios, de los procuradores, de las personas que trabajan en nuestros despachos, de las personas que trabajan para nuestros clientes, de los contactos profesionales de nuestras agendas, etcétera. Pues bien, a todos estos ficheros con datos de carácter personal hay que aplicar la LOPD y toda su normativa de desarrollo.

Veamos ahora cuales son las principales exigencias que nos marca esta normativa. La primera de ellas, que debiéramos cumplir antes de tener los datos de carácter personal en nuestro poder, es inscribir los ficheros en el Registro General de Protección de Datos. No hay que transmitir a dicho registro los datos concretos de nuestros ficheros, sino solo algunos aspectos generales de los mismos.

Lo siguiente será ver si los datos personales incluidos en nuestros ficheros cumplen con el principio de calidad que exige la LOPD. Así, los datos incorporados deben de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Un aspecto muy importante, es el derecho de información que debemos ofrecer a los afectados. Son afectados las personas a las que hacen referencia los datos de carácter personal incorporados en nuestros ficheros, y que son los verdaderos propietarios de los mismos, ya que deciden quienes los pueden tener y que pueden hacer con ellos. Cuando obtengamos datos de carácter personal, mediante el medio que sea, debemos informar previamente a los afectados, de modo expreso, preciso e inequívoco de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

No obstante, este deber no es absoluto, sino que tiene sus excepciones. Así, no será necesario cumplir con este deber de información cuando una ley así lo prevea, cuando se trate de datos para fines históricos, estadísticos o científicos según marca su normativa, cuando resulte imposible o exija esfuerzos desproporcionados el llevarlo a cabo, siempre bajo criterio de la Agencia Española de Protección de Datos, y cuando los datos procedan de fuentes accesibles al público, entre ellas las listas de personas pertenecientes a grupos de profesionales, -como el caso del directorio del abogados de Sevilla, que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo-, y se destinen a la actividad de publicidad o prospección comercial.

Si el derecho de información es importante, el consentimiento es el verdadero protagonista en esta materia. Podemos hacer cualquier cosa con los datos siempre que exista consentimiento del afectado, e igualmente casi nada se puede hacer sin él. Lo define la LOPD como toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. En definitiva, para que podamos hacer un tratamiento de datos de carácter personal, tendremos que requerir el consentimiento inequívoco del afectado, salvo que alguna Ley disponga otra cosa.

No obstante lo anterior, este consentimiento no será necesario para los ficheros de datos cuya finalidad sean las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, tampoco será necesario entre las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y que sean necesarios para su mantenimiento o cumplimiento, cuando se trate de proteger un interés vital del interesado, o cuando los datos provengan de las denominadas fuentes accesibles al público.

Una vez que hayamos comprobado el cumplimiento de todo lo anterior, debemos fijarnos en las posibles cesiones de datos de carácter personal que estemos realizando. Debemos entender como cesión de datos todo tratamiento de datos que supone su revelación a una persona distinta del afectado. No es que no se puedan comunicar datos de carácter personal a un tercero, sino que debe contarse con el previo consentimiento del afectado.

Sin embargo, entre otros casos, no necesitaremos de este consentimiento cuando una ley autorice la cesión; cuando los datos sean obtenidos de fuentes accesibles al público; cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros; cuando la comunicación tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas; o cuando la cesión de datos sobre salud sea necesaria para solucionar una urgencia.

Aun con todas estas excepciones, hay muchos tratamientos de datos que nos serían imposibles realizar en nuestro ejercicio profesional de la abogacía. Imaginemos que somos un despacho que asesora en materia laboral a empresas, y que necesitamos para prestar este servicio, tener los datos personales de todos los trabajadores de nuestros clientes. Estos clientes tendrían que informar y recabar el consentimiento, que podrían dar o no, a todos sus empleados, algo que haría prácticamente imposible esa externalización de servicios por parte de nuestros clientes hacia nosotros.

Por ello, con la LOPD se creó la figura del tratamiento por cuenta de terceros. Es ésta una excepción genérica a la exigencia de consentimiento para poder realizar una cesión de datos, ya que no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al propietario del fichero, es decir al cliente en el ejemplo que acabamos de exponer. No obstante, esta relación deberá estar regulada en un contrato por escrito con el contenido que marca la normativa.

Por último, comentaremos las medidas de seguridad que la LOPD nos impone implantar en nuestros despachos. Debemos tener un documento de seguridad en protección de datos personales. Este documento es una política de seguridad que contiene las medidas de índoles técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Los ficheros se clasifican en tres niveles, y a cada uno de ellos se les requieren unas determinadas medidas de seguridad. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, como son los que usualmente tratamos los abogados, deberán reunir, además, las calificadas como de nivel medio. Los ficheros más sensibles, los que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además, las calificadas como de nivel alto.

Ya para terminar, indicar que en breve se publicará en la página web de nuestro Colegio, un manual para abogados en protección de datos de carácter personal, donde se explicará detalladamente cómo adaptar eficazmente la actividad de la abogacía a la LOPD.

Pedro Rodríguez López de Lemus, Abogado

Redacción

Author: Redacción

Compartir esta Publicación en

Enviar Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *