Violación de seguridad de datos personales. Responsabilidad profesional del abogado

Por José Domingo Monforte. Abogado.

Se aborda el cumplimiento de la normativa europea de protección de datos, como integrante de la prestación profesional, modelo de conducta en el cumplimiento de los deberes deontológicos que informan el ejercicio de la abogacía y fuente legal y contractual de responsabilidad.

El abogado en la ejecución de la prestación profesional asume la responsabilidad en la custodia de documentos y el derecho y deber de guardar el secreto, privacidad y confidencialidad de los mismos, como  así lo impone el artículo 542 de la LOPJ.

No se trata en la actualidad de un derecho absoluto, al estar excepcionado por el deber de colaboración de la Ley de Prevención de Blanqueo de capitales, que especifica que los abogados que participen en determinadas operaciones están obligados a informar al Sepblac [Servicio Ejecutivo de Prevención de Capitales] cuando detecten indicios delictivos de blanqueo de capitales.

Salvo situaciones excepcionales, estoy de acuerdo con la frase acuñada en la profesión que concita la obligación de secreto “el abogado tiene que morir callando”. Estamos ante deberes obligacionales instrumentales o deberes de protección. El deber fundamental de guardar secreto, del que deriva la confidencialidad y custodia documental, es un presupuesto básico para el adecuado desarrollo del derecho de defensa y valor garante que tutela la relación fiduciaria abogado-cliente. [Vid. Arts.41 y 53 del Estatuto General de la Abogacía].

La STS de 25 de Marzo de 1998 declaró: “…el abogado, en virtud de la naturaleza de los asuntos encomendados, ha de custodiar diligentemente la documentación que referida a su cliente se haya originado en el desarrollo de su actividad profesional…”.

Con la llegada de las nuevas tecnologías, “la documentación” de que habla la sentencia y sus propios datos personales y del asunto que se nos encomienda, se maneja con generalizada frecuencia en estos tiempos, por medio de documentos electrónicos o digitales, integrados en dispositivos de almacenamiento, sistemas informáticos, correos electrónicos y redes corporativas que permiten guardar y leer los documentos en archivos y soportes muy diferentes con los que transitábamos y tratábamos el papel. Así, el deber de custodia documental y de secreto de los datos y documentos del cliente, adquiere una nueva visión y dimensión que nos ocupa y preocupa ante la eventual violación de la seguridad de los datos personales, tanto por quiebras de seguridad, como por descuidos y pérdidas.

El marco normativo que se constituye como fuente obligacional es el Reglamento Europeo de Protección de Datos [2016/679  de 27 de Abril de 2916], que regula la protección y tratamiento de los datos personales y su circulación.

En el apartado 12 del artículo 4 del citado Reglamento, se define la violación de seguridad de datos personales como toda aquella violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

La diligencia debida en el tratamiento y medidas de seguridad a implementar la encontramos expuesta en dicho Reglamento en su artículo 32 al disponer que lo será  “teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, el contexto y los fines del tratamiento, así como riegos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y encargado del tratamiento (en este caso, el abogado) aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. De forma ejemplificativa apuntala las siguientes:

• La seudonimización y el cifrado de datos personales.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Además, se establece una obligación de evaluación de la adecuación del nivel de seguridad estudiando los riesgos que pudiera generar el tratamiento de datos como, entre otros, la destrucción, pérdida o la alteración accidental.

Podemos afirmar, en consecuencia, que el abogado debe adoptar las medidas de seguridad propias y adecuadas que garanticen un determinado nivel de seguridad ante eventuales riesgos, no únicamente por ataques o robos cibernéticos sino ante situaciones más cotidianas o comunes como lo son la pérdida o extravío de dispositivos de almacenamiento. No solo obliga a ello la normativa específica, sino también los deberes genéricos que informan el ejercicio de la abogacía de lealtad, fidelidad y secreto.  En este sentido, la  jurisprudencia cuando ha abordado el amplio marco de la responsabilidad profesional, ha incluido el cumplimiento de los deberes deontológicos en el desempeño del encargo. [STS de 14 de julio 2005].

El abogado aparece como deudor de seguridad de los datos confiados. La Sentencia de la Audiencia Nacional 4898/2008, de 11 de diciembre, declaró: “…el responsable del fichero,  debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada del tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualquier otro datos de carácter personal pueda llegar a manos de terceras personas…»

El incumplimiento de las medidas de seguridad y protección conllevará la sanción por la infracción administrativa a la que podrá sumarse la indemnización del daño eventualmente causado, que podrá ser un exclusivo daño moral cuando impacte únicamente en la parte anímica o afectiva [datos sensibles que puedan afectar a su saludo, libertad, honor, intimidad…] no descartando que pueda sumarse un daño patrimonial cuando la lesión transcienda a la esfera material y repercuta en el patrimonio del sujeto dañado. La  Sentencia de la Audiencia Provincial de Cáceres de 16 de septiembre de 2009 ya tuvo oportunidad de pronunciarse sobre el derecho al resarcimiento y la expectativa indemnizatoria que del mismo deriva, al declarar que: “…el perjuicio es inherente a la existencia de una intromisión ilegitima, quedando reducida la controversia exclusivamente a la cuantificación económica de menoscabo por el daño moral…”.

Por último, haré una breve referencia a la normativa europea sobre la que gravitan las reflexiones, en relación a los deberes de información y lealtad. Deberes que determinan la posición del profesional ante la producción del riesgo, esto es, la violación de seguridad de los datos personales, cuando esta pueda entrañar un alto y potencial riesgo para los derechos  y libertades, en este caso, del cliente que los confió.

Y es que ante estas situaciones, el profesional responsable del fichero, deberá comunicar el hecho a la autoridad de control dentro de las 72 horas desde que fuera conocido, así como al propio/s cliente/s afectado/s, salvo que la información esté anonimizada o cifrada. La violación del deber de información que pesa sobre el profesional es una nueva fuente de responsabilidad al integrarse y formar parte del contenido de prestación de servicios que liga al abogado fiduciariamente al interés del cliente, junto con el deber deontológico de lealtad que pugna con el comportamiento omisivo de no informar del riesgo.