Conferencia de Javier Alvarez, quien cree que el RGPD supone un esfuerzo importante para abogados y sus clientes.

¿Cómo deben adaptarse los despachos de abogados al nuevo Reglamento Europeo de Protección de Datos?

29/3/2018 05:58

Actualizado: 12/4/2022 10:40

A menos de dos meses para la puesta en marcha del nuevo Reglamento Europeo de Protección de datos (RGPD) que viene a reemplazar la Directiva 95/46, aún vigente, y a superar la Ley Orgánica de Protección de Datos española (LOPD), parece evidente que nos encontramos ante un cambio cultural en el modelo de entender la privacidad.

Javier Álvarez, socio de AC ABOGADOS y responsable de la Comisión de Nuevas Tecnologías del Il Colegio de Abogados de Valladolid, fue uno de los expertos que intervino en los debates para analizar la adaptación de las entidades colegiales al nuevo RGDP. En esta oportunidad le hemos pedido que nos ofrezca su visión de cara a los propios despachos de abogados.

Para Álvarez “hay que darse cuenta que no es lo mismo la adaptación de un Colegio de Abogados que trata una serie de datos, que lo que debe hacer un despacho de abogados como entidad profesional que presta un servicio jurídico a terceros. Lo que sí está claro es que hay que formarse convenientemente para afrontar este reto que modifica sustancialmente el concepto de privacidad hasta ahora”.

Desde su punto de vista, éstos son los pasos que un despacho de abogados debería seguir para poder actualizarse de cara al RGPD

1.- Elaborar un registro de actividades de tratamiento teniendo en cuenta su finalidad y su base jurídica “Habitualmente en la hoja de encargo aparece la base jurídica de dicho tratamiento. Debemos indicar quienes somos, que tratamientos tenemos y como está estructurado en función de nuestros clientes».

Para Álvarez este registro es algo vivo que se va adaptando a la actividad del desapcho en materia de protección de datos “ También incluiremos las medidas de seguridad que el despacho va a adoptar”

2.- Adaptar las cláusulas informativas a la nueva situación. “Son aquellas que señalan que les informamos a los clientes que sus datos son objeto de tratamiento y que pueden ejercer sus derechos”. La redacción viene regulada en los artículos 13 y 14 del nuevo RGPD y deja claro la información que se debe dar. “ Tiene que estar incorporadas a las hojas de encargo profesionales”.

A juicio de este expertos “ los despachos deberían informar a sus clientes de que se están adaptando a este nuevo entorno normativo. No es tanto cumplir la ley como demostrar que el despacho está en condiciones de demostrar que podemos cumplir la nueva normativa”.

3.- Realizar una evaluación de los riesgos del despacho: “Es un cambio importante, en el anterior modelo de privacidad había una serie de medidas de seguridad que había que adoptar. Ahora, se pide realizar un análisis de riesgo y establecer una serie de medidas que mitiguen esos riesgos.

Álvarez, recuerda que el CGAE sacó hace meses una Guía de gestión de riesgos y que la propia AEPD publicó la suya junto con la evaluación de impacto en los datos personales. “A nivel de despacho, sus riesgos son muy parecidos a los que tienen las empresas. Se tratan datos de clientes y como riesgos el uso de Dropbox o plataforma como OneDrive para mandar expedientes al cliente que no son seguras.

Para este experto hay que evitar el compartir esos documentos por esos sistemas “si se hace hay que enviar la información con contraseña, lo ideal sería que fuera encriptada para tener una mayor seguridad”.

Revela que también hay riesgos físicos que deben reducirse su impacto, ”almacenar expedientes en la sala de espera genera un riesgo elevado. Es bueno tener una estructura de papel y tener un protocolo de destrucción documental para cuando sea necesario”.

4.- Conservar la información y tenerla a disposición: También debemos señalar cuánto tiempo vamos a conservar esa información en el despacho “ Se puede mantener por un plazo de seis años o incluso un plazo de diez o quince años por el tema de la prevención del blanqueo de capitales. Ese plazo también lo debemos indicar”.

La información no hay que mandarla a la AEPD pero debe estar a disposición de dicha entidad. «En el caso de tener un problema hay que tener disponible tanto el registro de actividades, análisis de riesgo como la modificación de las cláusulas informativas.

5.- Valorar contar con la figura del Delegado de Protección de Datos (DPO) DELEGADO DE PROTECCIÓN DE DATOS (DPD) “ Hay que darse cuenta que esta medida no es obligatoria para los bufetes pero puede ayudar mucho en la gestión de la privacidad de los despachos. Además el modelo es flexible puede estar en el despacho o externalizarse como gestor de la privacidad”.

Para este experto, es fundamental que este experto tenga su certificación que acredite su experiencia y capacidad en estos temas de privacidad “Estamos a la espera que surja una primera convocatoria para certificar a esos profesionales y su capacidad”.

Conferencia de Javier Alvarez, quien cree que el RGPD supone un esfuerzo importante para abogados y sus clientes.

6.- Formarse en privacidad. “Es otra cuestión clave para entender el cambio que se avecina en materia de privacidad, tener la información y formación adecuada para afrontar este reto en el despacho. Es una materia más específica que otra pero es necesaria para evitar en cualquier tipo de infracción”.

Los abogados debemos formarnos en privacidad para conocer realmente el cambio que supone el RGPD en la gestión de protección de datos

7.- Desarrollar evaluaciones de impacto en la protección de datos “Creo que éste es un tema que vinculará a determinados despachos de abogados, quizás a los más grandes. Los despachos pequeños no creo que tengan la obligación de realizarlas.

Por su parte, los grandes despachos no tendrán problema para realizarlas, al contar con medios y profesionales expertos en estos temas “harán esa evaluación del impacto en los datos personales de terceros sin excesivos problemas”.

Álvarez apunta a que esa evaluación de impactos no es necesaria para esos tratamientos tradicionales, donde no se cambian procedimientos ni se incorpora tecnología “no es necesaria hacerla para esos tratamientos de datos habituales que no se han modificado a lo largo de los años. Esto es algo poco conocido pero hay que destacar”.

8.- Establecer mecanismos y procedimientos de notificación de brechas de seguridad por alguna incidencia en el despacho:

“En el RGPD se habla de las QUIEBRAS DE SEGURIDAD En este sentido hay que recordar que el CGAE en colaboración con INCIBE editó una guía práctica sobre cómo gestionar dichas brechas de seguridad. “Si se tiene la información cifrada es una de las excepciones para no notificar esa brecha de seguridad.

Esta notificación, en función de su gravedad debe hacerse a las 72 horas de producirse tanto a la AEPD como al propio usuario. “ Las excepciones están ahí, siempre y cuando no haya un riesgo para los derechos de los propios clientes y afectados. La propia entidad tendrá que hacer un informe de lo que ha pasado para valorar la situación tras el incidente”, aclara Álvarez. Luego “ hay que gestionar bien esa crisis generada por la brecha de seguridad para evitar que genere un problema de reputación al bufete”.

9.- Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos “Junto con las medidas convencionales de contraseñas y copias de seguridad, las empresas en general y los despachos de abogados en particular tendrán que tomar otras medidas. A este respecto el cifrado de la información ayuda mucho a la hora de evitar pérdidas de información por cualquier ciberataque”, comenta nuestro interlocutor.

Ese cifrado de la información es una obligación del propio RGPD explícitamente señalado “al mismo tiempo se pueden utilizar sistemas de gestión de base de datos de cliente que estén en la nube, nunca en local. Hay que pedir que ese servicio en la nube esté encriptado para proteger la información”.

Al mismo tiempo, recomienda no compartir datos con clientes en plataformas públicas como DropBox o similares “hay que hacerlo con plataformas privadas. El CGAE ha llegado a un acuerdo para que los abogados utilicemos OneDrive con soporte de Microsoft y Telefónica y así se almacena la información de manera más segura”, indica. Tampoco utilizar aplicaciones como Wetransfer de compartir información.

10.-Adaptarse al nuevo RGPD es concienciación. “Hay que darse cuenta que adaptarse al nuevoRDPG no es un coste económico importante. Supone asimilar un nuevo modelo de privacidad, más proactivo que la tradicional inscripción de ficheros de datos en la AEPD.

“Hay que conocer bien este cambio que ahora llega y que debe fomentar nuevas medidas de seguridad para una mejor gestión de los datos personales”.

Al final hay que darse cuenta que “ ser una entidad que cumpla con la normativa de protección de datos e incluso se certifique debe ser un valor competitivo para empresas y despachos respecto a otros que no lo tengan. Ya tenemos en el mercado sellos como el de Confianza Online en el mercado sobre buenas prácticas en ecommerce, no es descartable que surja alguno en materia de privacidad y buen cumplimiento”, indica este experto.

Noticias Relacionadas: