Nuestro entrevistado, abogado experto en privacidad y protección de datos ha escrito un libro electrónico dirigido a ayudar a los abogados a que cumplan en su despacho profesional con las obligaciones que les impone el RGPD y la LOPDGDD.
El libro, titulado “PROTECCIÓN DE DATOS. MANUAL PRÁCTICO DE AYUDA PARA ABOGADOS”, al que se puede adquirir desde la web www.alfonsopachecoabogado.es se estructura en dos partes:
Una primera, de 150 páginas, en formato PDF, que explica de forma directa, práctica y sencilla las principales obligaciones que se derivan para el abogado de la normativa sobre protección de datos. Y una segunda compuesta por 32 formularios en formato Word y Excel, totalmente editables y personalizables, a fin de facilitar su uso directo por el lector. A lo largo de esta entrevista, Alfonso nos ofrece pautas y consejos para que la gestión de la privacidad en un despacho de abogados no sea un calvario.
En primera persona
“Soy Abogado en ejercicio desde 1989, colegiado en el Ilustre Colegio de Abogados de las Islas Baleares. Me he dedicado a nivel profesional al derecho privado, protección de datos y comercio electrónico. Al mismo tiempo ejerzo de Docente: en su momento, profesor asociado de la Universidad de las Islas Baleares. Profesor (protección de datos) en el Máster en Abogacía UIB-CAIB y soy cotitular del blog privacidadlogica.es, dedicado a la protección de datos.
La idea del libro surge de la observación de ausencia en el mercado de una obra especializada de carácter práctico dirigida expresamente al mundo de la abogacía y que además no supusiera realizar un importante desembolso económico.
Por eso, desde la experiencia de saber lo que es un despacho y los conocimientos en privacidad, he escrito mi libro en formato electrónico, con formularios editables, para su aprovechamiento práctico inmediato. Y lo he puesto a la venta directamente desde la web del despacho porque así podía fijar un precio yo creo que baratito”.
¿Qué reflexiones extrae de la creación de su libro centrado en explicar a los abogados lo que es la protección de datos?
Que la profesión en general, pero sobre todo el pequeño despacho, está muy necesitado de ayuda para entender de forma sencilla y práctica qué implica esta normativa, a la que te enfrentas por primera vez cuando ya estás ejerciendo, cuando tu tiempo se lo come el día a día de tu actividad y la carga de estudio necesario para permanecer actualizado en la materia a la que te dedicas, que ya es bastante.
A todo eso le tienes que sumar tiempo y esfuerzo para enterarte de qué va esta normativa y además implementarla en tu actividad. Pero muchas veces no se sabe a dónde o a quien acudir para que te ayude, precisamente por el vacío de obras que de forma práctica y sencilla, sin irse a pasear por los cerros de Úbeda, ayuden al profesional a entender e implementar esta normativa.
Una vez encontrada la fuente de ayuda, a partir de ahí es cuestión de tener tiempo (y fuerzas) para leer, entender y aplicar. Y sacar ese tiempo hoy en día no es fácil, pero es necesario, porque implementar la normativa en protección de datos requiere invertir en conocer tu estructura, cómo haces las cosas, planificar, documentar y revisar.
¿Cuáles son los principales errores de un abogado en relación con la protección de datos de sus clientes?
Por un lado, el enfoque incorrecto: no se trata de ir parcheando, tomando medidas puntuales que afectan al contacto del despacho con el mundo exterior, como puede ser insertar cláusulas informativas en nuestra documentación.
Se trata de tener una visión completa de cómo se realiza cualquier actividad en nuestro despacho para, a partir de ahí, determinar qué obligaciones tenemos, a qué riesgos está sometida nuestra actividad y así poder adoptar medidas técnicas y organizativas para reducirlos, establecer criterios de conservación y eliminación, etc.
Por otro lado, la falta de documentación: la normativa no obliga solo a cumplirla, sino que además debemos estar en disposición de acreditar que cumplimos, y eso se hace a base de documentar lo que hacemos y cómo lo hacemos.
A esas dos grandes ideas podríamos luego añadir cosas concretas, como puede ser el “pánico” a deshacerse debidamente de aquella información que ya no deberíamos tener en nuestro poder pasados los plazos de conservación de aplicación en cada caso.
Por lo general, cuando asesoro a otros abogados lo normal es comprobar que guardan todos los expedientes de su vida profesional, que puede haberse iniciado, por ejemplo, hace 30 años. Y guardar lo que no debes es un riesgo, porque en caso de acceso no consentido a esa información tienes un problema, porque si no la hubieras conservado nadie habría accedido a ella.
Y a un nivel inferior, los descuidos diarios: dejarse abierta sesión de Drive o Onedrive en los ordenadores de uso común en las dependencias de las oficinas del colegio en los Juzgados, recibir a los clientes con expedientes de otras personas sobre la mesa…
¿Qué es lo primero que debe hacer un abogado para gestionar la privacidad de su despacho?
Insisto en la idea: sacar tiempo para entender la normativa y hacer la “foto” integral de cómo se hacen las cosas en su organización y, a partir de ahí planificar, corregir e implementar. Si no lo hacemos así, podremos ir parcheando, pero tendremos agujeros por todos lados.
¿Puede perder un cliente un abogado que trate mal los datos de sus clientes?
Pues sí, porque tienes más números de quebrantar la confidencialidad, la integridad o la disponibilidad de los datos personales y resto de información que se maneja en el despacho, y eso al cliente no le va a hacer ninguna gracia, por no hablar de que, además, puede suponer un importante daño reputacional en determinados supuestos, lo que incidiría en la futura captación de clientes.
¿Hasta que punto ayuda la privacidad a gestionar mejor la gestión de un despacho?
Ayuda y mucho, porque en la práctica implica implementar en nuestro despacho un sistema de gestión de la información (no solo de los datos personales) que garantice su integridad, disponibilidad y (muy relevante para nosotros, por ser la nuestra una profesión sometida a secreto profesional) su confidencialidad
Se trata de sistematizar y protocolizar nuestra forma de trabajar y la implantación de medidas técnicas y organizativas orientadas al cumplimiento de la normativa y garantizar las tres dimensiones mencionadas: integridad, disponibilidad y confidencialidad. Es una forma estupenda de “ordenar” y controlar lo que se hace en nuestro despacho.
¿Debe tener un despacho de abogados un responsable de la gestión del despacho a nivel de protección de datos o mejor externalizarlo?
Tenemos que tener claro que el abogado, como titular de la actividad, siempre va a ser el responsable de los tratamientos de datos personales que realice, con independencia de que gestione él directamente el cumplimiento de la normativa o lo externalice.
A partir de ahí, todo irá en función de la estructura, conocimientos, disponibilidad de tiempo y medios del despacho.
Otra cosa es si un despacho tiene que tener sí o sí un delegado de protección de datos, que es otra cosa y dependerá también de su concreta realidad. Así, por ejemplo, un despacho unipersonal no tiene que tener obligatoriamente un delegado de protección de datos. En el otro extremo, un macro despacho que gira bajo forma societaria sí deberá tenerlo. ¿Realidades intermedias? Caso por caso.
¿Puede ser un abogado un buen Delegado de Proteccion de Datos o tiene que delegar este tipo de función?
Yo creo que sí puede serlo, es una muy interesante área de trabajo. Eso sí, requiere de formación en la materia, porque esto no va de poner cuatro cláusulas y listo, sino que es una materia compleja, relativa a un derecho fundamental para más inri, y que, como todas las áreas jurídicas, requiere de estudio, especialización y actualización.
Eso sí, muy relacionadas con la aplicación e interpretación de la normativa nos podemos encontrar con un sinfín de cuestiones técnicas, por lo quien aspire a ser DPD se tiene que poner, dentro de un orden, las pilas con el mundo tecnológico y saber apoyarse, trabajar en equipo, con profesionales de ese sector.
Ahora, si la pregunta va a encaminada a si puedes ser DPD dentro de tu organización, la normativa no impide que el DPD sea alguien de la propia organización, siempre y cuando, entre otras cuestiones, se garantice su independencia en relación con el responsable del tratamiento y que no se puedan tomar medidas contra él por ejercer sus funciones.
¿Es la brecha de seguridad el principal problema que debe afrontar un abogado en materia de protección de datos?
Las brechas de seguridad son muy importantes, sí, porque eso supone la afectación de la disponibilidad, integridad o confidencialidad de los datos y restante información que se manejan en el despacho, con obligación no solo de notificarlas a la AEPD sino también, en determinadas circunstancias, a los propios afectados, que serán nuestros clientes, con el consiguiente daño reputacional que eso puede suponer. Y por ello deben prevenirse mediante la adopción de medidas técnicas y organizativas que permitan reducir la posibilidad de su materialización y sus efectos.
Pero no debe descuidarse el resto de obligaciones establecidas por la normativa, porque son igual de importantes.
¿Qué consejos le da a los abogados que lean esta entrevista para tener una buena política de protección de datos?
No parchee. Si se pone a ello, métase a fondo, implemente la normativa en su totalidad.
Aunque externalice la implementación inicial, lea y entienda la normativa, y ello por tres motivos:
1.- Como abogados nos pasamos el día leyendo e interpretando normativa. Qué mínimo que leernos aquella que nos atañe directamente.
2.- Esto no va de tener una “foto” de la realidad de su despacho a fecha de la implementación, sino que es su organización es una realidad viva, que sufre cambios, que abre nuevas vías de negocio, etcétera lo que supone que deberá usted ir revisando sus protocolos, medidas, bases de legitimación, algo que, en función de su estructura, podrá ir haciendo usted mismo si tiene un mínimo de interés en la materia, entiende de qué va y se va metiendo en el ajo a un nivel que le permita gestionar este tema en su despacho, sin perjuicio de que tenga que buscar luego apoyo o asesoramiento puntual.
3.- Aunque contrate a un tercero para que realice la implementación porque usted no tiene ganas o tiempo, si usted como mínimo se ha leído con interés la normativa podrá darse cuenta de cuándo ese tercero, si no es un profesional serio, intenta meterle un gol, que entre otras cosas le va a costar dinero.
Les pongo un ejemplo: el otro día hablando con un compañero de otra ciudad, despacho unipersonal, me cuenta que le ha hecho la implementación una empresa que le ha di cho que sí o sí tiene que tener un delegado de protección de datos, habiendo nombrado a esa empresa, a cambio de un coste anual, cuando en este caso no sería preceptivo contar con esa figura.
Y, por último, si quiere tener una visión completita de lo que supone en su despacho la implementación de la normativa e incluso atreverse a hacerlo usted…pues compre mi libro. https://www.alfonsopachecoabogado.es/tienda/proteccion-de-datos/
Por @LuisjaSanchez, Periodista Jurídico.
