Gestin

Autor: Javier Aparicio, Brbara Losilla, Roco Garca, Sergio Sanfulgencio y Manuel de Torres. Abogados de Cuatrecasas

El despacho de abogados
como responsable y
encargado de ficheros
Bien como responsables de sus ficheros, bien como encargados de los de sus
clientes, los despachos de abogados deben hacer frente a las novedades del
Reglamento de proteccin de datos ponindolas en relacin con las obligaciones
establecidas en la norma de la que trae causa, la Ley Orgnica de proteccin de
datos, tarea no siempre sencilla.

n despacho de abogados, como cualquier otra empresa,

trata informacin de
carcter personal en el ejercicio de su
actividad y, por tanto, se ve sometido al
rgimen normativo de la proteccin de
datos de carcter personal.
El propsito de este artculo no es
comentar o interpretar este rgimen
normativo con carcter general, ni centrarse en alguna de las muchas cuestiones controvertidas con las que a diario
tenemos que batallar, sino recoger, desde un punto de vista prctico, algunos
aspectos que se dan en nuestros despachos en el desarrollo de nuestra profesin, incluyendo las labores de gestin
que, al fin y al cabo, tambin hay que
atender. Y todo lo anterior, sin perder
de vista las novedades introducidas en
esta materia por el nuevo Reglamento de desarrollo de la Ley Orgnica de
proteccin de datos de carcter personal, aprobado mediante el Real Decreto
1720/2007, de 21 de diciembre, que
entr en vigor el pasado 19 de abril.
As, si entendemos por responsable
del fichero o de su tratamiento aquella

iuris julio 2008

37

Gestin

persona que decide sobre la finalidad

y el uso que se da a los datos personales, un despacho, con carcter general, ser, cuando menos, responsable
de ficheros relativos a tres diferentes
tipos de datos: uno de empleados, con
datos de abogados y de otros profesionales que prestan servicios a la firma
(secretarias, informticos, documentalistas), un fichero de clientes y otro
de proveedores.

torio o de Quin es quin?, de forma

que todos puedan consultar dicha informacin sin necesidad de llevar personalmente una agenda para tenerlos
a mano.
Qu ocurre con estos directorios
corporativos desde la perspectiva de
la proteccin de datos? El Reglamento
seala que, siempre que se limiten a
incluir la informacin arriba mencionada, no ser necesario aplicarles las
medidas de proteccin de datos que
recoge el propio Reglamento; pero en
cuanto se incluya cualquier otro tipo de
informacin (una fotografa, especialidad, idiomas, etc.), el Reglamento ser
plenamente aplicable.

El deber profesional de secreto

Para comenzar, hay que distinguir
el deber profesional de secreto del abogado del deber de secreto que recoge la
normativa de proteccin de datos.
El secreto profesional que tenemos
los abogados es una manifestacin del
derecho a la defensa e impone al abogado el deber y le confiere el derecho de
no revelar la informacin que le confan sus clientes. As, de conformidad
con la Ley Orgnica del Poder Judicial,
los abogados debemos guardar secreto
de todos los hechos o noticias que conozcamos en el desarrollo de nuestra
actuacin profesional y no se nos puede
exigir su revelacin. Revelar esa informacin constituye un ataque contra la
confianza y la intimidad del cliente y el
incumplimiento de un deber legal, que
est castigado por el Cdigo Penal con
pena de prisin, multa o inhabilitacin
para el ejercicio de la profesin.
El deber de secreto en materia de
proteccin de datos atae al responsable del fichero (el despacho) y a quienes
acceden al mismo para su tratamiento
(los abogados y otros profesionales)
respecto de aquellos datos que sean
de carcter personal y estn sometidos
a tratamiento (por ejemplo, una carpeta donde se guarde la informacin
del cliente) y su incumplimiento est
sancionado por la Ley Orgnica de proteccin de datos de carcter personal
(LOPD).
As pues, el deber profesional de
secreto no afecta a toda persona que
acceda a la informacin, ni se limita
slo a la informacin de carcter per-

38

iuris julio 2008

Ahora bien, la duda ya est planteada: tampoco se aplica entonces la

Ley Orgnica de proteccin de datos de
carcter personal?
sonal, y tampoco es preciso que la
informacin est almacenada en un
fichero. El secreto profesional afecta a
cualesquier abogado que acceda a la
informacin en virtud de su profesin,
con independencia de la naturaleza de
los datos y de si estn o no sometidos
a tratamiento.
Por otro lado, el Cdigo Penal castiga a quien se apodera, utiliza o modifica, sin autorizacin y en perjuicio
de tercero, datos personales que se
hallen registrados en ficheros. Se trata de un tipo cualificado respecto de
la infraccin administrativa recogida
en la LOPD.

EL DESPACHO COMO RESPONSABLE

DEL TRATAMIENTO
Datos de los empleados
En relacin con el primer tipo de
datos citados, los de empleados, puede
ser que el despacho organice un fichero
(que suele denominarse intranet) con
los datos de contacto de los profesionales (nombre y apellidos, funciones o
puestos, e-mail, ubicacin fsica y fax,
extensin o telfono directo profesional) para mostrarlos a modo de direc-

Entendemos que a este tipo de ficheros les son de aplicacin las obligaciones impuestas por la LOPD (por
ejemplo, la inscripcin del fichero en
el Registro General de Proteccin de
Datos o la atencin de los derechos
de acceso, rectificacin, cancelacin
y oposicin), ya que, literalmente, el
Reglamento slo establece la no aplicacin del propio Reglamento, pero no
la del rgimen general que recoge la
LOPD. Adems, por el rango normativo,
el Reglamento nunca podra derogar
(inaplicar) la Ley.

Nivel de seguridad del fichero

de nminas
Siguiendo con el fichero de empleados, el nuevo Reglamento ha tratado,
desgraciadamente sin mucho tino, otra
cuestin desde hace tiempo polmica:
la calificacin del nivel de seguridad
en este tipo de ficheros. Hasta la fecha,
las medidas de seguridad aplicables a
este fichero siempre han sido las de nivel alto por incluir datos especialmente
protegidos, relativos a la salud, al grado de minusvala o discapacidad que
puedan sufrir los empleados y, en ocasiones, incluso a la afiliacin sindical
(datos necesarios para liquidar la n-

mina, efectuar las retenciones de IRPF

y recaudar la cuota sindical a solicitud
del empleado). Las medidas de nivel de
seguridad alto incorporan unas obligaciones formales, funcionales y tcnicas
que provocan una inversin adicional
en tecnologa.
El Gobierno, consciente de este
problema, estableci en el Reglamento
la excepcin de aplicar este nivel de
seguridad cuando los datos personales
relativos a la salud, referidos exclusivamente a la minusvala, se traten de
forma incidental para el cumplimiento
de obligaciones pblicas. Se ha conseguido simplificar efectivamente la
gestin de este tipo de fichero y rebajar el nivel de seguridad? La realidad
es que, literalmente, la excepcin del
Reglamento no permite rebajar el nivel
de seguridad respecto de los datos de
salud no referidos exclusivamente a las
minusvalas, como ocurre respecto de
los datos de altas y bajas para la liquidacin de nminas y respecto de la sindicacin para la recaudacin de la cuota sindical. Adems, la propia norma
establece la excepcin exclusivamente
respecto del tratamiento realizado con
motivo del cumplimiento de los deberes
pblicos, por lo que, conforme a su
tenor literal, debemos interpretar que
cualquier otro tipo de dato diferente a
la invalidez de los trabajadores o para
una finalidad distinta de la pblica estara excluido.
Si el lector alberga alguna duda a
la hora de considerar si los datos de
alta y baja son datos de salud, sepa
que, conforme al criterio seguido por la
Agencia Espaola de Proteccin de Datos (AEPD), la respuesta debe ser afirmativa. En consecuencia, a la vista del
tenor literal del Reglamento, nuestro
consejo es aplicar las medidas propias
del nivel alto.

Ficheros en papel
Por lo que respecta a los ficheros de
proveedores y clientes, al de empleados y cualesquiera otros de los que el
despacho pueda ser responsable, queremos destacar, como cuestin comn

a todos ellos, que el nuevo Reglamento

ha regulado las medidas de seguridad
aplicables a los ficheros en papel.
A nadie se le escapa que el volumen
de papel que se puede acumular en un
despacho, incluyendo informacin personal, puede llegar a ser ingente. Por
ello, nuestro consejo previo es que, en
la medida de lo posible, se instalen sistemas de tratamiento que potencien el
archivo electrnico y que aquella informacin que necesariamente tenga que
quedar recogida en papel se gestione
con el apoyo de un archivo externo, si
es necesario confiado a terceros, destruyendo todo aquello que no sea preciso con medios que aseguren la confidencialidad, para evitar la acumulacin
incontrolada de papel en las oficinas
del despacho.
La prctica demuestra que los problemas de seguridad ms graves que
han sucedido en Espaa estn relacionados con los ficheros en papel (expedientes mdicos, judiciales y de personal que han aparecido en la basura en
muchas ocasiones). Esto es as porque
es mucho ms difcil controlarlos y los
fallos en las medidas de seguridad aplicadas resultan frecuentes.
Hasta la fecha no se haban dictado
medidas especficas para los ficheros
en papel. No obstante, las nuevas medidas establecidas no deberan provocar
inquietud alguna, pues no dejan de responder al sentido comn y a una prctica mnimamente diligente y ordenada
en el archivo de documentos.
Consisten bsicamente en el establecimiento de unos criterios de archivo que garanticen la correcta conservacin y localizacin de los documentos,
as como el ejercicio de los derechos
de acceso, rectificacin, cancelacin y
oposicin, y en el establecimiento de
mecanismos que obstaculicen la apertura del lugar en que se almacenan.
En definitiva, estamos hablando de
mantener la documentacin ordenada
en un armario con llave. Adicionalmente, cuando la documentacin se

encuentre fuera del archivo por estar

en proceso de revisin o tramitacin,
la persona que est a su cargo deber
custodiarla e impedir que personas no
autorizadas accedan a ella.
En el caso de que se trate de ficheros que contengan datos de nivel alto,
los armarios o archivadores debern
encontrarse en reas donde el acceso
est protegido con puertas dotadas de
sistemas de apertura mediante llave
u otro dispositivo equivalente. Los ficheros estarn sujetos a auditora como mnimo bienal, deber autorizarse
expresamente la realizacin de copias
y el acceso a los archivos deber limitarse exclusivamente al personal autorizado.
Es importante tener en cuenta que
el Reglamento permite cierta flexibilidad. As, en caso de que no se puedan
aplicar las medidas establecidas, autoriza al responsable para que adopte
medidas alternativas que, debidamente
motivadas, se describirn en el documento de seguridad.

Tarjetas de visita
Cuestin distinta, pero tambin
relacionada con la documentacin en
papel de los despachos, es el procesamiento de la informacin incluida en
las tarjetas de visita.
Es frecuente la pregunta de si la
obtencin de los datos de las personas
de contacto a travs de estas tarjetas
de visita habilita al despacho, y a las
empresas en general, a incorporarlos a
un fichero y proceder a su tratamiento,
es decir, si cabe presumir que existe
un consentimiento al tratamiento de
los datos en el momento en el que se
entrega la tarjeta de visita.
Esta cuestin ha sido uno de los temas que se ha tratado de solucionar,
nuevamente sin xito, a travs de la
aprobacin del Reglamento.
En primer lugar, parece que el nuevo Reglamento deja fuera del mbito de
la proteccin de datos de carcter per-

iuris julio 2008

39

Gestin

sonal los datos de las personas fsicas

que actan como contactos de personas jurdicas. As, el artculo 2.2 seala
que este Reglamento no ser aplicable
a los tratamientos de datos referidos a
personas jurdicas, ni a los ficheros que
se limiten a incorporar los datos de las
personas fsicas que presten sus servicios
en aqullas, consistentes nicamente en
su nombre y apellidos, las funciones o
puestos desempeados, as como la direccin postal o electrnica, telfono y
nmero de fax profesionales. Pero, segn hemos comentado ya, la exclusin
de la aplicacin del Reglamento no puede entenderse en el sentido de excluir
tales datos de las reglas de la LOPD.
Una vez ms, debemos atender al
tenor literal de la norma y entender
que slo se excluye la aplicacin del
Reglamento, pero no el rgimen normativo de la proteccin de datos con carcter general. La LOPD seguir siendo
de plena aplicacin.
En definitiva, la prudencia nos
aconseja esperar a conocer en qu sentido se pronunciarn nuestros tribunales cuando conozcan sobre estos extremos y, por el momento, recomendar,
no slo que se mantengan inscritos los
ficheros de contacto en el Registro General de Proteccin de Datos, sino que
no se incluyan los datos de las tarjetas
de visita en estos ficheros, salvo que se
haya obtenido el consentimiento de los
interesados.

Promocin y tratamiento
de datos en Internet
Resulta ya extrao encontrar compaas e, igualmente, despachos que
no hayan habilitado su propia pgina
web y que, por lo tanto, no se hayan
convertido a los ojos de la Ley 34/2002,
de 11 de julio, de servicios de la sociedad de la informacin (LSSI), en prestadores de servicios de la sociedad de
la informacin.
En esta lnea, la LSSI impone una
serie de obligaciones tales como facilitar una determinada informacin al
usuario. En efecto, cabe resaltar la es-

40

iuris julio 2008

pecial exhaustividad con que el artculo 10 (recientemente modificado por la

Ley de medidas de impulso de la sociedad de la informacin) se pronuncia en
relacin con la informacin que cualquier prestador de servicios debe facilitar a travs de medios electrnicos, de
forma permanente, fcil y gratuita; la
prctica ms extendida es incluir dicha
informacin en la pgina web a travs
del denominado aviso legal.
Sin embargo, existen supuestos
en los que las caractersticas de los
servicios que se ofrecen a travs de la
pgina web impiden que este deber de
informacin se atienda mediante un
aviso legal, de ah la coletilla del artculo 10: Sin perjuicio de los requisitos que
en materia de informacin se establecen
en la normativa vigente.

La abogaca se ve
muy afectada por
las limitaciones que
regula la normativa de
proteccin de datos

As ocurrira, por ejemplo, si la pgina web del despacho incluyera un

apartado destinado a la recopilacin de
currculums o si facilitase la posibilidad de prestar servicios directamente
a travs de medios online una vez recabados los datos necesarios.
En efecto, en estos casos el despacho
no slo sera un prestador de servicios
de la sociedad de la informacin, sino
que tambin ostentara la condicin de
responsable del tratamiento, propio de
la LOPD, por lo que se encontrara obligado a facilitar la informacin especfica del artculo 5 de esta norma.
Por otra parte, en relacin con el
envo de comunicaciones comerciales,
hay que sealar que la LSSI establece

unas limitaciones al envo de comunicaciones por medios electrnicos que

superan con creces los iniciales condicionamientos de la LOPD. Cabe destacar tres aspectos esenciales:
la necesaria identificacin de toda
comunicacin comercial como tal y de
la persona que la realiza;
la necesaria autorizacin o consentimiento del receptor de no haber mediado una relacin contractual previa, y
la exigencia de incluir en toda comunicacin comercial la posibilidad
de que el receptor pueda oponerse
mediante un procedimiento sencillo y
gratuito.

EL DESPACHO COMO ENCARGADO

DEL TRATAMIENTO
Es evidente que un despacho no slo puede tratar datos de carcter personal como responsable de determinados
ficheros, sino que, en mltiples ocasiones, lo har en calidad de encargado
por cuenta de un tercero, verdadero
responsable del tratamiento, ya que el
despacho es un prestador de servicios,
para cuya actividad los clientes deben
depositar en l toda la informacin que
pueda resultar oportuna para la defensa de sus intereses, entre la que habr,
como es lgico, datos de carcter personal.
Es decir, del mismo modo que una
firma puede tener encargados del tratamiento que deban acceder a sus ficheros para prestarles unos determinados
servicios (pensemos en una gestora
encargada de la confeccin de las nminas, la empresa de seguridad o de
soporte informtico, etc.), el despacho
podr llevar a cabo tratamientos de datos responsabilidad de un tercero (el
cliente) para el desarrollo de sus servicios de asesoramiento.
Pues bien, en este caso existe la
obligacin de formalizar por escrito estas relaciones, estableciendo las cautelas previstas en el artculo 12 de la
LOPD.
Debe tenerse en cuenta que, en caso de ausencia de un documento que

cumpla cabalmente el citado artculo

12, la AEPD califica el acceso a los datos como una cesin del artculo 11, que
si no se ha notificado y autorizado por
los afectados, sera constitutiva de una
infraccin sancionada con una multa
mnima de 300.000 euros para el cliente y a partir de 60.000 euros para el
despacho. Por ello, parece esencial que,
al aceptar un asunto, el despacho y el
cliente firmen un contrato que cumpla
los requisitos formales comentados.

Operaciones de compra
de sociedades
Existe una cuestin ms compleja
relacionada con este problema: la elaboracin de las denominadas due diligences
(auditoras de empresas en proceso de
adquisicin por un tercero). Estas auditoras se confan normalmente a los despachos con carcter previo a una operacin de compraventa. Resulta lgico que
para acordar la operacin, la empresa
que se va a adquirir permita a los potenciales compradores que accedan a todo
tipo de informacin (tambin de carcter
personal) para que puedan valorarla y
hacer su oferta en consecuencia.
Cmo formalizar esta relacin jurdica? La respuesta terica a este interrogante es mucho ms sencilla que su
puesta en prctica.
As, una primera solucin sera la
obtencin por parte de la vendedora del
previo consentimiento de los titulares
de los datos que necesita facilitar a la
posible compradora, informndoles
de la cesin y, en consecuencia, de la
intencin de vender, para que el despacho que vaya a realizar la auditora
legal acceda a dicha informacin como
un encargado de tratamiento de la compradora cesionaria.
Obviamente, esta estrategia es inviable. La solicitud del consentimiento
de los titulares afectados hara depender la operacin de su aquiescencia, lo
que es inadmisible.
Tampoco resuelve este problema
la disociacin de los datos para eludir

la prohibicin legal, ya que este proceso resultara sumamente costoso y

complicado y, en muchos casos, impedira a la adquirente tener la seguridad de estar evaluando correctamente la empresa, al ser la informacin
limitada.
El origen de esta dificultad est en
que la LOPD slo admite que el acceso
a los datos personales por parte del encargado del tratamiento se justifique
en el servicio que preste al responsable
del tratamiento, que en este caso es la
sociedad que se vende. Por ello, en estos supuestos, actuar en nombre y por
cuenta del potencial adquirente resultara contrario a la LOPD, ya que sera
una cesin de datos. En consecuencia,
consideramos que la nica solucin
posible en la prctica consistira en la
firma de un contrato entre el despacho
y el responsable del tratamiento, aun
cuando la auditora tambin interese
al adquirente y ste haya seleccionado
al despacho de su confianza para realizarla.
De esta forma, el papel del despacho como defensor de los intereses
del adquirente se diluira, pasando a
desarrollar un rol de mediacin entre
los intereses en juego y actuando, en
consecuencia, en inters de ambas empresas y a beneficio de la operacin.
En definitiva, el sistema se basara
en dar a la firma de abogados un papel
de auditor (como en la prctica se denomina al proceso en que interviene) y
entender que dicha labor no se desarrolla en inters de ninguna de las partes
en concreto, sino a favor del equilibrio
econmico del negocio efectivamente
acordado por las partes. Bajo esta perspectiva, nada impide que la vendedora
contrate a la firma de abogados, que
deber ser, obviamente, de la confianza
de ambas empresas.

Datos de la contraparte
Otro aspecto que merece la atencin es el hecho de que en muchas ocasiones los abogados accedemos a datos
relativos a personas contra quienes

nuestros clientes pretenden ejercer acciones legales.

Dado que el uso de esa informacin
es absolutamente necesario para el
ejercicio del derecho a la defensa, que
comparte con la proteccin de datos el
carcter de derecho fundamental, la
AEPD siempre ha considerado que en
estos supuestos el derecho a la proteccin de datos debe ceder frente al de
defensa, de modo que el tratamiento de
dichos datos no puede verse condicionado a la obtencin del consentimiento
de la persona a quien se refieren, ya
que esa limitacin dejara plenamente
sin contenido el derecho a la defensa.

Subcontratacin de servicios
Finalmente y como colofn a las
cuestiones que hemos tratado en torno
a la prestacin de servicios por cuenta del responsable del tratamiento, el
nuevo Reglamento reconoce expresamente la posibilidad de que el encargado del tratamiento contrate a su vez
a un tercero para que se haga cargo de
una parte de los servicios, admitiendo
expresamente la posibilidad de la subcontratacin.
Para ello, el artculo 21 requiere
que en el contrato de servicios de tratamiento el responsable autorice expresamente la subcontratacin enumerando
los servicios que se van a subcontratar
e identificando al subcontratista y que
el tratamiento que desarrolle el subcontratista se ajuste a lo que ordene el
responsable.

CONCLUSIN
En definitiva, cabe concluir que el
ejercicio de la abogaca se ve muy afectado por las limitaciones que regula la
LOPD y que, salvo algunas contadas
especialidades en las que existen cualificaciones derivadas de las normas que
regulan la prctica profesional, las obligaciones de un abogado en materia de
proteccin de datos coinciden con las de
cualquier otro profesional que desarrolla
una actividad que le exige el tratamiento
de datos de carcter personal.

iuris julio 2008

41