Los abogados adaptan sus hojas de encargo al nuevo Reglamento Europeo de Protección de Datos

De izquierda a derecha, Paz Martín, socia directora de LegalThings, Carlos Galán, doctor en Informática y Abogado, profesor de Derecho de la TIC, y Ángel Juárez, abogado penalista, experto en privacidad  y presidente de APROED. 
|

Lleno a rebosar en la jornada que Abogados y Ciudadanos Pro Estado de Derecho (APROED) y Red Eureka organizaron este viernes en el Colegio de Abogados de Madrid (ICAM) para analizar el impacto del nuevo Reglamento Europeo de Protección de Datos (RGPD) en la abogacía, recordando que las hojas de encargo y contratos de servicio deben contener las nuevas cláusulas informativas de privacidad.

Tres ponentes de primer nivel como Carlos Galán, doctor en Informática y Abogado, profesor de Derecho de la TIC – Área de Derecho Administrativo en la Universidad Carlos III de Madrid y residente de la Agencia de Tecnología Legal; Paz Martín, socia directora de LegalThings y Ángel Juárez, abogado penalista, experto en privacidad  y presidente de APROED.

PUBLICIDAD
PUBLICIDAD
Carlos Galán Pascual, abogado especialista en Derecho de las Tecnologías de la Información, y Ángel Juárez, abogado penalista, experto en privacidad  y presidente de APROED.

Las tres intervenciones vinieron a señalar el cambio tan importante que llega en materia de privacidad, calificado por el profesor Galán de principio de “responsabilidad activa”.

“Ahora tendremos que demostrar que tenemos las medidas adecuadas para poder responder a lo que desde la AEPD van a pedirnos, que podemos cumplir con la política nueva privacidad”.

Este reputado experto incidió en la importancia de contar con un registro de actividades de tratamiento y realizar un análisis de riesgos, elemento indispensable para saber qué tratamientos de datos y medidas hay que desarrollar en el despacho.

PUBLICIDAD

Sobre dicho análisis recordó que ya hay otras normativas europeas como el reglamento de e-privacy, la directiva NIS que ya lo introducen como elemento para poder aceptar este cambio que llega a la protección de datos “Un periódico análisis de riesgo ayudará a tomar las medidas adecuadas que requiere el despacho y a un mejor tratamiento de los datos”.

Y recordó que dichas medidas de seguridad “cuestan dinero, esfuerzo y tiempo pero son necesarias adaptarlas  a nuestro despacho”.

PUBLICIDAD

Galán recordó que hay dos tipos de despachos de abogados “los que han sufrido un ataque informático y los que no lo han sufrido. Pero hay que darse cuenta que alguna vez seremos atacados, con lo cual con estas medidas de seguridad podemos mitigar el impacto del citado ciberataque”.

PUBLICIDAD

Y recordó que las empresas deben abonarse a un esquema de prevención, detección y respuesta a este tipo de problemas “A veces incluso no sabes que estás siendo atacado realmente”.

Sobre las medidas a adoptar recordó que deben estructurarse en tecnológicas, jurídicas y organizativas. Y citó el articulo 32 del RGPD donde se habla de todas ellas.

Debemos contar con Códigos de Conducta en la empresa y una organización que permita detectar esas incidencias de privacidad. A nivel jurídico es fundamental que cualquier cesión de datos a terceros quede reflejada en un contrato. Nuestros clientes deben conocer estos cambios de política y hacérselo ver en las hojas de encargo que firmamos con ellos”.

Hay dos tipos de despachos, los que fueron ciberatacados y los que aún no lo han sido. Debemos trabajar en la prevención del ciberataque y mitigar ese impacto

En cuanto a las actividades de tratamientos que hacen los despachos recomendó que se hicieran por servicios que se prestan a los clientes. “Al final tu despacho se mueve entre el escaso riesgo, medio riesgo y alto riesgo. En el caso que sea de medio y alto riesgo la nueva normativa nos obliga a realizar una evaluación del impacto de esos datos personales”.

PUBLICIDAD

Y recordó que la AEPD está dando soporte a pymes y empresas con herramientas como Facilita, para escasos riesgos y Guías como las de análisis de riesgos y evaluación de impacto aunque recordó que Pilar, la herramienta del Centro Criptográfico Nacional era más completa.

Hay que ser proactivo

Por su parte, Paz Martín, explicó a los asistentes la aplicación del RGD a despachos medianos y grandes.

Recordó que en otras conferencias que había impartido en empresas y otras entidades se habían generado muchas dudas sobre esta nueva política de privacidad “El nuevo RGPD obliga a todos los sujetos afectados. Lo que sí está claro es que es posible que en un gran despacho haya más cultura de privacidad y medios que en una pequeña firma”.

Para esta experta hubiera sido interesante que la nueva LOPD se aprobase conjuntamente “Hay un retraso importante, más de 300 enmiendas presentadas”.

Esta ponente recordó que el modelo de cumplimiento normativo que tienen muchas empresas tiene un esquema similar al del RGD, donde la figura del Delegado de Protección de Datos (DPO) es algo necesario para empresas con gran volumen de tratamiento de datos, datos sensibles o las propias administraciones “ Hay que tener claro que el DPO nunca irá a la cárcel a no ser que se comprobase que hizo mal su trabajo.

Es el contacto de la empresa con el regulador y se necesita un profesional preparado que conozca bien la empresa y los tratamientos de datos que se desarrollaron ahí”.

Recordó que las novedades del RGPD se estructuran en Principios, Obligaciones y Derechos. Destacó que las cláusulas informativas hay que adaptarlas al nuevo entorno normativo.

“Es necesario que cada empleado conozca cuando está tratando con datos personales para que sepa identificarlo y aplicarlo”.

Respeto a la conservación de datos ahora tiene un tiempo limitado y es obligatorio informar al cliente de “que tenemos sus datos por determinado tiempo. Luego hay distintos tiempos de conservación dependiendo del procedimiento judicial”.

Es fundamental documentar cualquier cesión de datos a terceros. Cada despacho debe tener una organización interna volcada hacia la privacidad

Al igual que otros ponentes, recordó la necesidad de documentar todos las cesiones de datos que se hagan a terceros.

Y recordó como el propio RGPD facilita la creación de Códigos de Conducta internos en las empresas  que ayudan a que la organización se implique más en el cumplimiento de dicha normativa.

“Estos Códigos, en el caso de España, tienen el respaldo de la AEPD que ha mostrado su interés en que muchas de las pequeñas disputas, a expensas de pedir a la Agencia que las resuelve, puedan ser abordadas por el propio DPO de cara a buscar una solución rápida y negociada entre las partes”.

Una de las cuestiones que comentó Martín es que “aunque en las organizaciones más grandes haya más sensibilización por la cultura del cumplimiento, no podemos olvidar que hay más riesgo de incidentes por el gran volumen de datos que se trata”.

A este respecto recordó que las llamadas brechas de seguridad ahora tendrían que comunicarse a la AEPD en 72horas, con lo que ello supone de recibir sanciones económicas importantes. “Es muy importante que el despacho tenga una organización interna con competencias claras en materia de privacidad”.

¿Qué pasa con los pequeños despachos?

El cierre de este evento estuvo a cargo de Ángel Juárez quien explicó cómo están adaptándose los pequeños despachos, a esta nueva normativa de protección de datos “El alta en protección de datos es obligatoria para los abogados en ejercicio. No sólo porque la ley y sus reglamentos nos obligan por razones obvias, sino porque es un compromiso que desde el inicio de nuestro periplo profesional adquirimos con nuestros clientes y con nosotros mismos en la preservación de la confidencialidad y demás obligaciones que tanto desde la LOPD y su actual reglamento de aplicación se nos exigen, como por las exigencias del nuevo reglamento europeo”.

Para Juárez el problema de los despachos unipersonales es su falta de recursos y de tiempo para afrontar este tipo de obligaciones aunque considera fundamental tener acuerdos con terceros expertos en la materia, para poder gestionar bien la política de privacidad de la firma.

Recordó que los abogados manejan muchos datos personales de clientes y terceros y que es fundamental que este tipo de material tan sensible esté documentado para evitar cualquier tipo de problema o infracción que pudiera generarse.

“Evitemos los acuerdos verbales y acostumbrémonos a documentar todo”.

“Ha cambiado la forma de recabar el consentimiento el tratamiento de los datos, ahora debe ser explícito”.

En su opinión desde entidades como el CGAE debe plantearse ante la AEPD de que sólo profesionales del derecho debidamente cualificados y formados pueden dedicarse seria y profesionalmente a esta  tarea tan complicada y tan esencialmente jurídica como es el desarrollo y la implementación de políticas de privacidad, ahora volcadas en el desarrollo del nuevo RGPD.  Para este experto es el momento de acabar “con el intrusismo en la materia y con la ambigüedad de la AEPD sobre este asunto”.

Hojas de encargo y contratos de servicio deben contener las nuevas cláusulas informativas de privacidad. Ha cambiado la forma de recabar el consentimiento, ahora es expreso e inequívoco

En otro momento de su intervención presento la herramienta Facilita que ha creado la AEPD para pymes y autónomos “sobre todo para tratamientos de escaso riesgo. Hay que darse cuenta que no basta con realizar las actividades que plantea la herramienta para estar al día de tus obligaciones en privacidad. También debemos llevar los abogados un Registro de Actividades de Tratamiento, realizar nuestros análisis de riesgos y en el caso de datos sensibles realizar las correspondientes evaluaciones de impacto. “Ha cambiado la forma de recabar el consentimiento el tratamiento de los datos, ahora debe ser explícito”.

Juárez  explicó que otra de las grandes novedades de esta norma, destacó que hay un tema importante para los abogados “ el art. 10 (Tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad).

Dicho tratamiento sólo será lícito (art. 6.1) cuando se realice bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros, estableciendo garantías para los derechos y libertades de los interesados. Sólo podrá llevarse un registro completo de condenas penales bajo el control de dichas  autoridades públicas”.