La normativa vigente en materia de protección de datos personales define los conceptos de encargado y responsable de tratamiento:
- Art 4 del RGPD 7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
- 8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable
En el ámbito del ejercicio de las actividades profesionales, y en especial, en el ámbito de las actividades de prestación de servicios profesionales a terceros relacionadas con el ámbito jurídico (asesoramiento legal, defensa letrada, asesoramiento y defensa en materia laboral, etc.), nos encontramos con que el profesional o empresa en cuestión ha de tratar datos de carácter personal de sus clientes, pero también datos de carácter personal dentro de su propia actividad (datos de sus propios trabajadores, por ejemplo).
En este sentido, aunque los conceptos parecen claros, lo cierto es que en la práctica existen bastantes problemas para la diferenciar las figuras, sobre todo en el sector de la abogacía y del asesoramiento empresarial y, especialmente, cuando el cliente es una persona jurídica.
Vamos a analizar los diferentes supuestos en los que se puede encuadrar la relación abogado-cliente y sus consecuencias en el tratamiento de los datos:
Cuando la relación es de responsable e interesado.
Cuando el cliente es un particular, es decir que no se trata de una empresa o un profesional, es el abogado quien determine los fines y medios del tratamiento. Este será el caso de un divorcio, un desahucio o una reclamación a un vecino en caso de daños por agua, por ejemplo.
En este caso tendremos que cumplir con los principios de la protección de datos, de informar al interesado, de la contestación de ejercicios de derechos y comunicación de incidencias, así como de las medidas de seguridad aplicables, entre otras obligaciones.
Cuando el abogado o el despacho actúa como encargado de tratamiento.
Este supuesto se produce siempre y cuando una empresa externalice el asesoramiento interno de la organización. Se trataría de un servicio outsourcing. Pensemos, por ejemplo, en el supuesto de la externalización del asesoramiento en materia de derecho laboral, o en el propio servicio de consultoría en protección de datos. En estos casos será la empresa que nos contrata este servicio de consultoría “interna” la que defina las medidas de seguridad a adoptar o cómo debemos de efectuar el tratamiento de los datos. La relación se enmarcará en el contrato de encargado de tratamiento, que deberá de firmarse como anexo o parte de la hoja de encargo.
Cuando se produce una cesión de datos y, por lo tanto, el abogado o el despacho actúan como responsables.
Distinto a lo anterior es el caso en el que una empresa encargue un asunto concreto que suponga una comunicación de datos personales de sus trabajadores, clientes, proveedores… En estos casos, el encargo se produce para una asunto concreto, judicial o extrajudicial, donde el abogado actúa en representación de su cliente mediante unos poderes al efecto. Este supuesto se da, por ejemplo, en el encargo de contestar un despido improcedente o de una reclamación de cantidad adeudada por un cliente, o bien, para negociar una deuda con carácter extrajudicial previo a iniciar un procedimiento.
En estos casos se produce una comunicación de datos de terceros, desde la empresa cliente al abogado, para que este último realice su encargo profesional. Descrito así, podría resultar evidente que se trataría de un encargo de tratamiento donde la empresa determinaría los fines y medios del tratamiento, que además daría instrucciones documentadas al abogado, que debería de seguirlas fielmente.
Ahora bien, el ejercicio de la abogacía, de conformidad al propio Estatuto General de la Abogacía Española, es una profesión libre e independiente que presta un servicio a la sociedad en interés público y que se ejerce en régimen de libre y leal competencia, por medio del consejo y la defensa de derechos e intereses públicos o privados, mediante la aplicación de la ciencia y la técnica jurídicas, en orden a la concordia, a la efectividad de los derechos y libertades fundamentales y a la Justicia.
También al Código Deontológico (aprobado por el Pleno del Consejo General de la Abogacía Española el 6 de marzo de 2019), establece la independencia de la actividad profesional de la abogacía cuando, en su artículo 2, dice que la independencia de quienes ejercen la Abogacía es una exigencia del Estado de Derecho y del efectivo derecho de defensa del justiciable y de la ciudadanía por lo que constituye un derecho y un deber.
En este sentido, para poder asesorar y defender adecuadamente los legítimos intereses del cliente, el abogado debe mantener el derecho y el deber de preservar la independencia frente a toda clase de injerencias y frente a intereses propios o ajenos.
Esta libertad e independencia, incluso frente al cliente, de la que goza el letrado y que es fundamental para su actividad, no se corresponde con la obligación de seguir las instrucciones documentadas del responsable, propia de un contrato de encargo de tratamiento.
Por lo tanto, descartada la figura del encargado de tratamiento en estos supuestos, podemos concluir que se trataría de una relación entre dos responsables donde los datos objeto del procedimiento se comunican con la finalidad de garantizar el derecho de defensa del interesado.
En estos supuestos, el abogado deberá cumplir todas las obligaciones en cuanto a información, derechos, medidas de seguridad que son propias de los responsables de tratamiento.
Una vez hemos marcado las diferentes formas bajo las que puede operar un despacho profesional, tenemos que acreditar que el tratamiento de datos se lleva a cabo por alguno de los medios admitidos por la normativa, que son los siguientes:
Art 6 RGPD 1. Consentimiento 2. Relación contractual 3. Protección de intereses vitales del interesado. 4. Obligación legal del responsable 5. Interés público o ejercicio de poderes públicos 6. Intereses legítimos que no choquen con los derechos del interesado.
En el ámbito de un despacho profesional, las vías más usuales serán la relación contractual, la obligación legal del responsable y su propio consentimiento. La prevalencia de un interés legítimo habrá de calibrarse y demostrarse fehacientemente antes de llevar a cabo un tratamiento de datos basado en el interés legítimo.
En los casos de tratamiento de datos basados en el consentimiento o la relación contractual hemos de tener en cuenta de qué manera probar que estamos tomando las medidas necesarias según el tipo de figura que ostentemos:
En el caso de responsables de tratamiento: Mediante la firma de hojas profesionales, contratos de prestación de servicios donde se haga constar esta condición y donde se reflejen las obligaciones de cada parte en esta materia. En el caso de asuntos del turno de oficio podría bastar la designación como tal ante el turno, pudiendo entenderse que el tratamiento se lleva a cabo como responsable, y su base podría entenderse amparada por el deber de cumplimiento de una obligación legal, dado que la renuncia está tasada y acotada a los supuestos legales establecidos.
En el caso de encargados de tratamiento: Mediante la firma de contratos de encargado de tratamiento, donde se haga constar: la base jurídica bajo la que se ampara el tratamiento de los datos de carácter personal, la finalidad del tratamiento, la tipología de interesados afectada por este tratamiento, la tipología de datos afectados y las obligaciones de ambas partes. En posteriores artículos pasaremos a detallar el contenido de un contrato de encargado de tratamiento entre profesionales del derecho.
El tratamiento de datos personales en el ejercicio de la abogacía implica, de por sí, un alto riesgo al tratarse habitualmente datos de categorías especiales. Desde el departamento de consultoría de DATCON NORTE os ofrecemos el asesoramiento necesario para el cumplimiento de la normativa de protección de datos.