Guía para que los despachos adopten la nueva privacidad

29/05/2018
La normativa europea impone un modelo proactivo
Los bufetes tratan una gran cantidad de datos personales

 

La reciente aplicación obligatoria del Reglamento europeo de protección de datos (RGPD) el pasado 25 de mayo, ha hecho que se precipiten las dudas en todos los sectores sobre cómo adaptarse a la nueva privacidad que impone. Los despachos, deben esforzarse especialmente en esta tarea ya que como indica José Luis Piñar, delegado de protección de datos del Consejo General de la Abogacía Española (CGAE), "el reglamento afecta a los bufetes en un doble sentido, ya que además de la obligación aplicarlo en su actividad, tienen la labor de ayudar y asesorar a sus clientes en su propia adaptación".

Esta segunda vertiente, ofrece a las firmas legales una oportunidad de negocio, pero además les supone una responsabilidad añadida, ya que para dar esos servicios de asesoramiento deben predicar con el ejemplo y someter su actividad a esta nueva privacidad con el rigor que exige el reglamento. "Los despachos tienen que tomárselo muy en serio. Además la protección de datos es un derecho fundamental y como tal, los abogados deben estar especialmente atentos en su defensa" apunta Piñar.

 

Todo ello sin olvidar las contundentes sancionesque el RGPD impone a todas las empresas, incluidos los bufetes. Hasta ahora la ley orgánica de protección de datos (LOPD) fijaba multas de hasta 600.000 euros por infracciones muy graves, el reglamento eleva esa cantidad hasta los 20 millones de euros o el 4% del volumen de negocio total anual global de la firma en el ejercicio anterior. Eso sí, en julio del año pasado con motivo de unas jornadas sobre la incidencia del RGPD en la profesión, Mar España, directora de la Agencia Española de Protección de Datos, manifestó, que si les llegase una denuncia contra un abogado y éste no tuviera sanción previa, "como regla general, salvo que la conducta sea muy grave, nos acogeremos al mecanismo de apercibimiento. Actuaremos con sentido común y flexibilidad".

En cualquier caso, en este proceso de adaptación para los despachos como para las empresas, el pilar fundamental es el cambio de mentalidad que implica el reglamento. Este nuevo modelo de protección de datos está basado en una responsabilidad activa, según la cual para cumplir con el reglamento, el bufete deberá adoptar las medidas técnicas y organizativas que garanticen la protección de los datos personales que manejan, y además permitan demostrar que el tratamiento de dichos datos es conforme al RGPD. Para ello es imprescindible que el despacho realice una serie de acciones clave.

La primera de ellas es la identificación de los datos que tratan en el ejercicio de su actividad y del riesgo que tiene cada tratamiento. La profesión de abogado requiere el tratamiento de una gran cantidad de datos personales de sus clientes y de la contraparte. Los despachos deben por tanto, determinar qué datos manejan y diferenciar aquéllos que deban calificarse como especialesporque resulten sensibles, como por ejemplo aquellos datos personales relativos a menores, a víctimas de violencia de género, a infracciones penales o administrativas, al origen étnico o racial o a la salud.

Una vez definidos y catalogados, será necesario valorar el riesgo que tiene cada tratamiento de esos datos. Como señala el CGAE en el último número de su revista, este análisis de riesgo consta de tres fases: identificación de las amenazas, determinar los escenarios en los que es posible que suceda, y finalmente, la realización de controles que reduzcan la exposición a dichos riesgos. Si el despacho resuelve que realiza un tratamiento "a gran escala" de categorías especiales de datos, lo que por lo general va unido a que la firma tenga un tamaño importante, deberá realizar una evaluación de impacto en la protección de datos. Con ella, lo que se pretende es establecer hasta qué punto una actividad de tratamiento puede causar daño a los interesados.

 

Font i Foto: cincodias.elpais.com