El despacho de abogados como responsable y encargado de ficheros

Por Javier Aparicio. Socio de Cuatrecasas Gonçalves Pereira Y Sergio Sanfulgencio. Abogado de Cuatrecasas Gonçalves Pereira

Conforme a la Ley Orgánica de Protección de Datos (LOPD) el responsable del fichero o de su tratamiento es aquella persona que decide sobre la finalidad y el uso de los datos personales. Un despacho, con carácter general, será, cuando menos, responsable de tres ficheros: personal (abogados y otros profesionales), clientes y proveedores.

A su vez, al gestionar la información que le facilitan sus clientes, el despacho actúa también como encargado del tratamiento, procesando los datos en nombre y por cuenta de aquellos.

EL DEBER PROFESIONAL DE SECRETO

El secreto profesional que obliga a los abogados es reflejo del derecho de defensa de sus clientes y prohíbe revelar la información que éstos le confíen. Lo impone la Ley Orgánica del Poder Judicial como obligación y derecho (no se puede exigir al abogado su revelación). Desvelar dicha información supone una deslealtad hacia el cliente y una infracción del deber legal, castigada en el Código Penal incluso con la inhabilitación para el ejercicio de la profesión.

En cambio, en el ámbito de la protección de datos, el deber de secreto obliga al despacho como responsable del fichero y a su personal respecto de los datos de carácter personal. Su incumplimiento lo sanciona la LOPD.

Por tanto, el deber profesional de secreto es más amplio en su objeto (protege cualquier dato, no solo personal) y más restringido en su ámbito subjetivo (sólo se aplica a los abogados).

EL DESPACHO COMO RESPONSABLE DEL TRATAMIENTO

Datos del personal

Adicionalmente a la gestión ordinaria del personal, los grandes despachos suelen organizar un fichero (la intranet) con datos de contacto de sus profesionales (nombre y apellidos, funciones o puestos, email, ubicación, teléfono y fax) para facilitar el acceso a modo de directorio, de forma que todos puedan consultar dicha información sin necesidad de llevar personalmente una agenda para tenerlos a mano.

A este respecto, el artículo 2.2 del Reglamento de desarrollo de la LOPD (RPD) dispone que, siempre que el fichero se limite a incluir la información arriba mencionada, no será necesario aplicarle las garantías de protección de datos; pero en cuanto se incluya cualquier otro tipo de información (una fotografía, especialidad, idiomas, etc.) o se destine a una finalidad distinta al simple contacto profesional, el RPD será plenamente aplicable. No obstante, cabe citar la Sentencia del TS de 21 de mayo de 2014 (Sala de lo Civil) que declara que ni la Directiva 95/46 ni la Carta Europea de Derechos Humanos niegan a los empresarios los derechos fundamentales, doctrina que pone en duda la aplicabilidad de la mencionada excepción.

Nivel de seguridad del fichero de nóminas

Siguiendo con el fichero de personal, según el artículo 81 del RPD, a pesar de contener datos de afiliación sindical, de discapacidad o invalidez u otros especialmente protegidos, no es preciso aplicar las medidas de nivel alto si dicha información se trata, respectivamente para el pago de cuotas sindicales, para el cumplimiento de obligaciones públicas o cuando su tratamiento es incidental a la finalidad del fichero.

La Agencia Española de Protección de Datos (AEPD) interpreta esta regla de forma extensiva y la aplica en el ámbito laboral a más datos de los estrictamente contemplados.

Ficheros en papel

El RPD regula las medidas de seguridad aplicables a los ficheros en papel.

Obviamente, el volumen de papel que incluye información personal que se acumula en un despacho es muy importante, por lo que es necesario instalar sistemas de tratamiento que potencien el archivo electrónico y que la información que tenga que conservarse en papel necesariamente se gestione con el apoyo de un archivo externo, incluso confiado a terceros, destruyendo con garantías de confidencialidad todo aquello que no sea preciso conservar, para evitar la acumulación de papel en las oficinas del despacho.

La práctica demuestra que los problemas de seguridad más graves que han sucedido en España están relacionados con los ficheros en papel (expedientes médicos, judiciales y de personal que han aparecido en la basura en ocasiones). Esto es así porque resulta muy difícil controlarlos, fallando con frecuencia las medidas de seguridad aplicadas.

Las medidas consisten básicamente en el establecimiento de unos criterios de archivo que garanticen la correcta conservación y localización de los documentos, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en el establecimiento de mecanismos que obstaculicen la apertura del lugar en que se almacenan.

Adicionalmente, cuando la documentación se encuentre fuera del archivo por estar en proceso de revisión o tramitación, la persona que esté a su cargo deberá custodiarla e impedir que personas no autorizadas accedan a ella.

...