Conócenos

LOPD EN DESPACHOS DE ABOGADOS

Responsabilidad activa y protección de datos

Por Pedro de la Torre Rodríguez

  • Imprimir

Pedro de la Torre Rodríguez

Como segunda entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les introduciré al concepto de la responsabilidad activa y a algunos de los desafíos para implantar las medidas de protección de datos de carácter personal en el bufete.

Qué es la responsabilidad activa

El nuevo “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa. 

Las empresas y profesionales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori. 

Resultan muy importantes los términos “prevención” y “asegurar razonablemente”. Por ello el Reglamento introduce una serie de medidas cuya obligatoriedad y modo de aplicación debe analizarse caso por caso en base a:

  1. El estado de la técnica.
  2. La naturaleza, contexto, ámbito y fines del tratamiento.
  3. El coste de la aplicación de las medidas.
  4. Los riesgos inherentes al tratamiento y la probabilidad de causar perjuicios a los derechos y libertades de las personas físicas.
  5. La cantidad de datos personales recogidos.
  6. La duración en el tiempo del tratamiento de dichos datos y su conservación.
  7. Grado de accesibilidad de los datos.

Desafíos de la responsabilidad activa

Las medidas a las que se aludían anteriormente pueden suponer todo un desafío para los despachos de abogados. Algunas de ellas son: 

Protección de datos desde el diseño:

Consiste en la implantación de medidas y procesos que permitan acreditar el cumplimiento de la normativa en materia de protección de datos desde el mismo momento de la concepción de un nuevo producto o servicio.

Esta medida resulta útil para el despacho no sólo por el cumplimiento normativo, sino por permitirnos identificar, corregir o mitigar posibles problemas desde una fase muy temprana, y por lo tanto, con el menor coste posible. 

Protección de datos por defecto:

Consiste en garantizar por defecto que únicamente sean objeto de tratamiento los datos personales necesarios para el cumplimiento de las finalidades previstas y que éstos sean únicamente accesibles por el número de personas indispensable para llevar a cabo la acción deseada.

Esta medida resulta muy útil para el ahorro en costes de almacenamiento y gestión de datos, dado que cuanta más información recojamos en el despacho, mayor será su coste de gestión. Así mismo, estas medidas nos ayudarán también a plantear desde fases tempranas la seguridad de la información, restringiendo el acceso a los datos. 

Medidas de seguridad:

Engloban una serie de medidas y procesos destinados a evitar la sustracción, pérdida, deterioro o destrucción de datos de carácter personal tratados en el despacho. Algunos de estos procesos son:

  • Identificación y Autenticación de Usuarios.
  • Control de acceso.
  • Administración de Usuarios.
  • Ficheros temporales.
  • Separación de los recursos de desarrollo y producción.
  • Gestión de Soportes y Documentos.
  • Desechado y reutilización de soportes.
  • Almacenamiento de ficheros no automatizados.
  • Custodia de soportes.
  • Criterios de archivo.
  • Seguridad en redes de comunicación.
  • Copias de respaldo.
  • Régimen de trabajo fuera de los locales de la ubicación del fichero.
  • Traslado de documentación.

Este tipo de medidas serán fundamentales para acreditar que se han asegurado razonablemente los datos de carácter personal en caso de que exista una incidencia.

Mantenimiento de un registro de tratamientos:

Consiste en la llevanza de un registro de los distintos tratamientos realizados sobre los datos de carácter personal gestionados por el despacho, incluyendo la persona física o jurídica responsable de dicho tratamiento, su objeto y el horizonte temporal en el que se ha llevado a cabo.

Este tipo de medidas son fundamentales para delimitar la responsabilidad en caso de incidencia, pudiendo acreditar fácilmente dónde ha podido originarse. 

Realización de evaluaciones de impacto sobre la protección de datos:

Consiste en diversas y medidas y procesos conducentes a determinar el impacto de un incidente relativo a los datos de carácter personal gestionados en el despacho. El objeto no es otro que delimitar la gravedad de los perjuicios que se puedan ocasionar a los derechos y libertades de las personas físicas afectadas.

Este proceso es muy importante, dado que el grado de obligatoriedad en la implementación de todas estas medidas que les estoy relatando dependerá en buena medida de los riesgos inherentes al tratamiento de los datos. 

Nombramiento de un delegado de protección de datos:

El delegado de protección de datos es la persona especialista en el ámbito de la protección de datos de carácter personal cuyas funciones son:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de las medidas y procesos conducentes al cumplimiento de dicha legislación y de la política del despacho: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
  • Deber de cooperar con las Agencias de Protección de Datos en aquello que se le requiera.
  • Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales a realizar por el despacho.

El delegado de protección de datos será normalmente un profesional externo al despacho, con amplios conocimientos técnicos y prácticos en la gestión de datos, en el que el despacho descargará buena parte de la responsabilidad del día a día en materia de protección de datos de carácter personal. 

Notificación de violaciones de la seguridad de los datos:

Se tratará de un conjunto de procesos destinados a la detección de violaciones de seguridad de la información y a su comunicación tanto a los responsables del despacho como a las personas físicas susceptibles de verse afectadas e incluso, según el caso, a las autoridades competentes.

Con este tipo de procesos limitaremos en buena medida la responsabilidad del despacho, acreditando que existen las medidas de alerta adecuadas.

Recomendación

La primera recomendación que le hago, querido lector, es la de que no se agobie. Pese a la complejidad inicial que puedan suponer este tipo de medidas se trata de ser metódicos y constantes desde el inicio.

Como segunda recomendación, cuente desde el inicio con ayuda de profesionales cualificados que le ayuden en las distintas fases que tendrá que afrontar. Aunque sólo sea para que le encaminen en la dirección correcta, se ahorrará muchos disgustos.

Les espero en la próxima entrega: “Deber de secreto y responsabilidad del despacho”

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Govertis incorpora a Francisco González-Calero como Legal and Privacy Advisory Leader

Sus funciones principales serán la formación de Delegados de Protección de Datos y la participación en proyectos de adaptación al Reglamento Europeo de Protección de Datos.

AirHelp incorpora su primer AI lawyer, abogado con Inteligencia Artificial, para gestionar las reclamaciones por retraso de vuelos

El lanzamiento de Lara optimizará las capacidades legales de la compañía permitiendo el crecimiento de sus servicios legales y su expansión en este mercado

La aplicación I-pobles” se implementa en fase piloto en 17 localidades de la provincia de Valencia

i-pobles es un proyecto de la Diputació que permitirá tratar la información con la administración de forma electrónica

feedburner

Reciba LAW & TIC de forma gratuita.

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17