Romina Barrios Viera
Pensar en el ejercicio de la abogacía sin el uso de las TIC´s (Tecnología de a Información y de la Comunicación) hoy en día resultaría inviable, atrás quedan aquellos profesionales con montañas de papeles y con librerías rebosadas.
En palabras de Pere Huguet, vicepresidente del Consejo General de la Abogacía Española (CGAE) y presidente de la Comisión de Programas, Estructuras y Aplicaciones Informáticas, “La abogacía tiene un grado de implementación de las nuevas tecnologías mayor que el de muchas otras profesiones. La abogacía española es de las más modernas de nuestro entorno”. El ejercicio de la profesión trae consigo tramitación electrónica de los expedientes, jurisprudencia, bases de daos, notificaciones electrónicas, archivo digital y un sinfín de tareas en las que la presencia de la tecnología es indispensable, de hecho, en la redacción del Preámbulo de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales recoge literalmente una enmienda que cita “Internet se ha convertido en una realidad omnipresente tanto en nuestra vida personal como colectiva”. Tanto es así, que todo despacho ha de tener presente las nuevas exigencias y cambios normativos que llevan consigo el uso de las TIC´s, pues el cumplimiento de la normativa relativo a Protección de Datos es obligatorio para todas aquellas empresas, profesionales, instituciones y entidades que disponen de datos de carácter personal.
Esta nueva normativa, trae consigo exigencias de entre las que destacan:
- Deber de información: La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ya recogía este deber con obligaciones como información de la existencia del fichero tratamiento, su finalidad y destinatarios, la obligatoriedad de respuesta, así como sus consecuencias, el ejercicio de derecho de acceso, rectificación, cancelación y oposición, así como la identidad y datos del responsable del tratamiento, no obstante, a partir del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), se añaden unos requisitos adicionales como son los datos de contacto del Delegado de Protección de Datos, o en su caso, la base jurídica o legitimación para el tratamiento; el plazo o los criterios de decisiones automatizadas o elaboración de perfiles; la previsión de transferencias a Terceros Países y el derecho a presentar una reclamación ante las Autoridades de Control.
- Consentimiento explícito: el consentimiento del interesado se trata de una comunicación que debe ser libre del interesado aceptando que se traten sus datos para una finalidad concreta y bajo unas condiciones determinadas, de las cuales tiene que estar informado previamente. Por ello, para que este consentimiento sea lícito, se deben de dar estas cuatro características:
- Específico: Si el tratamiento abarca varias finalidades, debe recabarse el consentimiento para cada tratamiento.
- Informado: se debe comunicar al interesado de la finalidad del tratamiento para el que se recaba el consentimiento, el nombre del responsable del tratamiento, tratamiento de los datos y los derechos de los que es titular el interesado.
- Inequívoco: el consentimiento de la obtención de datos tiene que ser entendible, de forma que el interesado no obtenga dudas sobre lo que está dando su consentimiento.
- Y por último la característica más importe, el consentimiento ha se ser Libre, no pudiendo en ningún momento están condicionado.
- Análisis de riesgo: Conforme a lo establecido en los preceptos 74, 75 y 76 del RGPD:
“(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas
(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
(76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”
Asimismo, al poseer información personal, los despachos de abogados deben analizar las vulnerabilidades informáticas y las brechas de seguridad, estableciendo las soluciones y medidas necesarias para su prevención.
Existen muchos términos que nos llevan a ideas equivocada. Cuando pensamos en pérdida o fuga de datos pensamos en ataques informáticos, siendo otras vías, principalmente por error humano, las más frecuentes los que conllevan consigo un incidente de este tipo, somo son la equivocación de destinatario con información en el envío de mails, pérdida o extravío ordenadores, tablets o teléfonos móviles, de dispositivos (memorias externas), o documentos que contengan datos.
Por todo ello, y como recomendaciones, los despachos de abogados deben tomar conciencia de la importancia de La seguridad, además de contar con sistemas óptimos de protección de datos, con un análisis de riesgos y evaluación de impactos sin olvidarnos de la obligación legislativa del cifrado de datos.