como responsable y encargado de ficheros

Transcripción

1 Autor: Javier Aparicio, Bárbara Losilla, Rocío García, Sergio Sanfulgencio y Manuel de Torres. Abogados de Cuatrecasas El despacho de abogados como responsable y encargado de ficheros Bien como responsables de sus ficheros, bien como encargados de los de sus clientes, los despachos de abogados deben hacer frente a las novedades del Reglamento de protección de datos poniéndolas en relación con las obligaciones establecidas en la norma de la que trae causa, la Ley Orgánica de protección de datos, tarea no siempre sencilla. Un despacho de abogados, como cualquier otra empresa, trata información de carácter personal en el ejercicio de su actividad y, por tanto, se ve sometido al régimen normativo de la protección de datos de carácter personal. El propósito de este artículo no es comentar o interpretar este régimen normativo con carácter general, ni centrarse en alguna de las muchas cuestiones controvertidas con las que a diario tenemos que batallar, sino recoger, desde un punto de vista práctico, algunos aspectos que se dan en nuestros despachos en el desarrollo de nuestra profesión, incluyendo las labores de gestión que, al fin y al cabo, también hay que atender. Y todo lo anterior, sin perder de vista las novedades introducidas en esta materia por el nuevo Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre, que entró en vigor el pasado 19 de abril. Así, si entendemos por responsable del fichero o de su tratamiento aquella 37

2 persona que decide sobre la finalidad y el uso que se da a los datos personales, un despacho, con carácter general, será, cuando menos, responsable de ficheros relativos a tres diferentes tipos de datos: uno de empleados, con datos de abogados y de otros profesionales que prestan servicios a la firma (secretarias, informáticos, documentalistas ), un fichero de clientes y otro de proveedores. El deber profesional de secreto Para comenzar, hay que distinguir el deber profesional de secreto del abogado del deber de secreto que recoge la normativa de protección de datos. El secreto profesional que tenemos los abogados es una manifestación del derecho a la defensa e impone al abogado el deber y le confiere el derecho de no revelar la información que le confían sus clientes. Así, de conformidad con la Ley Orgánica del Poder Judicial, los abogados debemos guardar secreto de todos los hechos o noticias que conozcamos en el desarrollo de nuestra actuación profesional y no se nos puede exigir su revelación. Revelar esa información constituye un ataque contra la confianza y la intimidad del cliente y el incumplimiento de un deber legal, que está castigado por el Código Penal con pena de prisión, multa o inhabilitación para el ejercicio de la profesión. El deber de secreto en materia de protección de datos atañe al responsable del fichero (el despacho) y a quienes acceden al mismo para su tratamiento (los abogados y otros profesionales) respecto de aquellos datos que sean de carácter personal y estén sometidos a tratamiento (por ejemplo, una carpeta donde se guarde la información del cliente) y su incumplimiento está sancionado por la Ley Orgánica de protección de datos de carácter personal (LOPD). Así pues, el deber profesional de secreto no afecta a toda persona que acceda a la información, ni se limita sólo a la información de carácter personal, y tampoco es preciso que la información esté almacenada en un fichero. El secreto profesional afecta a cualesquier abogado que acceda a la información en virtud de su profesión, con independencia de la naturaleza de los datos y de si están o no sometidos a tratamiento. Por otro lado, el Código Penal castiga a quien se apodera, utiliza o modifica, sin autorización y en perjuicio de tercero, datos personales que se hallen registrados en ficheros. Se trata de un tipo cualificado respecto de la infracción administrativa recogida en la LOPD. EL DESPACHO COMO RESPONSABLE DEL TRATAMIENTO Datos de los empleados En relación con el primer tipo de datos citados, los de empleados, puede ser que el despacho organice un fichero (que suele denominarse intranet) con los datos de contacto de los profesionales (nombre y apellidos, funciones o puestos, , ubicación física y fax, extensión o teléfono directo profesional) para mostrarlos a modo de directorio o de «Quién es quién?», de forma que todos puedan consultar dicha información sin necesidad de llevar personalmente una agenda para tenerlos a mano. Qué ocurre con estos directorios corporativos desde la perspectiva de la protección de datos? El Reglamento señala que, siempre que se limiten a incluir la información arriba mencionada, no será necesario aplicarles las medidas de protección de datos que recoge el propio Reglamento; pero en cuanto se incluya cualquier otro tipo de información (una fotografía, especialidad, idiomas, etc.), el Reglamento será plenamente aplicable. Ahora bien, la duda ya está planteada: tampoco se aplica entonces la Ley Orgánica de protección de datos de carácter personal? Entendemos que a este tipo de ficheros les son de aplicación las obligaciones impuestas por la LOPD (por ejemplo, la inscripción del fichero en el Registro General de Protección de Datos o la atención de los derechos de acceso, rectificación, cancelación y oposición), ya que, literalmente, el Reglamento sólo establece la no aplicación del propio Reglamento, pero no la del régimen general que recoge la LOPD. Además, por el rango normativo, el Reglamento nunca podría derogar (inaplicar) la Ley. Nivel de seguridad del fichero de nóminas Siguiendo con el fichero de empleados, el nuevo Reglamento ha tratado, desgraciadamente sin mucho tino, otra cuestión desde hace tiempo polémica: la calificación del nivel de seguridad en este tipo de ficheros. Hasta la fecha, las medidas de seguridad aplicables a este fichero siempre han sido las de nivel alto por incluir datos especialmente protegidos, relativos a la salud, al grado de minusvalía o discapacidad que puedan sufrir los empleados y, en ocasiones, incluso a la afiliación sindical (datos necesarios para liquidar la nó- 38

3 mina, efectuar las retenciones de IRPF y recaudar la cuota sindical a solicitud del empleado). Las medidas de nivel de seguridad alto incorporan unas obligaciones formales, funcionales y técnicas que provocan una inversión adicional en tecnología. El Gobierno, consciente de este problema, estableció en el Reglamento la excepción de aplicar este nivel de seguridad cuando los datos personales relativos a la salud, referidos exclusivamente a la minusvalía, se traten de forma incidental para el cumplimiento de obligaciones públicas. Se ha conseguido simplificar efectivamente la gestión de este tipo de fichero y rebajar el nivel de seguridad? La realidad es que, literalmente, la excepción del Reglamento no permite rebajar el nivel de seguridad respecto de los datos de salud no referidos exclusivamente a las minusvalías, como ocurre respecto de los datos de altas y bajas para la liquidación de nóminas y respecto de la sindicación para la recaudación de la cuota sindical. Además, la propia norma establece la excepción exclusivamente respecto del tratamiento realizado «con motivo del cumplimiento de los deberes públicos», por lo que, conforme a su tenor literal, debemos interpretar que cualquier otro tipo de dato diferente a la invalidez de los trabajadores o para una finalidad distinta de la pública estaría excluido. Si el lector alberga alguna duda a la hora de considerar si los datos de alta y baja son datos de salud, sepa que, conforme al criterio seguido por la Agencia Española de Protección de Datos (AEPD), la respuesta debe ser afirmativa. En consecuencia, a la vista del tenor literal del Reglamento, nuestro consejo es aplicar las medidas propias del nivel alto. Ficheros en papel Por lo que respecta a los ficheros de proveedores y clientes, al de empleados y cualesquiera otros de los que el despacho pueda ser responsable, queremos destacar, como cuestión común a todos ellos, que el nuevo Reglamento ha regulado las medidas de seguridad aplicables a los ficheros en papel. A nadie se le escapa que el volumen de papel que se puede acumular en un despacho, incluyendo información personal, puede llegar a ser ingente. Por ello, nuestro consejo previo es que, en la medida de lo posible, se instalen sistemas de tratamiento que potencien el archivo electrónico y que aquella información que necesariamente tenga que quedar recogida en papel se gestione con el apoyo de un archivo externo, si es necesario confiado a terceros, destruyendo todo aquello que no sea preciso con medios que aseguren la confidencialidad, para evitar la acumulación incontrolada de papel en las oficinas del despacho. La práctica demuestra que los problemas de seguridad más graves que han sucedido en España están relacionados con los ficheros en papel (expedientes médicos, judiciales y de personal que han aparecido en la basura en muchas ocasiones). Esto es así porque es mucho más difícil controlarlos y los fallos en las medidas de seguridad aplicadas resultan frecuentes. Hasta la fecha no se habían dictado medidas específicas para los ficheros en papel. No obstante, las nuevas medidas establecidas no deberían provocar inquietud alguna, pues no dejan de responder al sentido común y a una práctica mínimamente diligente y ordenada en el archivo de documentos. Consisten básicamente en el establecimiento de unos criterios de archivo que garanticen la correcta conservación y localización de los documentos, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en el establecimiento de mecanismos que obstaculicen la apertura del lugar en que se almacenan. En definitiva, estamos hablando de mantener la documentación ordenada en un armario con llave. Adicionalmente, cuando la documentación se encuentre fuera del archivo por estar en proceso de revisión o tramitación, la persona que esté a su cargo deberá custodiarla e impedir que personas no autorizadas accedan a ella. En el caso de que se trate de ficheros que contengan datos de nivel alto, los armarios o archivadores deberán encontrarse en áreas donde el acceso esté protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Los ficheros estarán sujetos a auditoría como mínimo bienal, deberá autorizarse expresamente la realización de copias y el acceso a los archivos deberá limitarse exclusivamente al personal autorizado. Es importante tener en cuenta que el Reglamento permite cierta flexibilidad. Así, en caso de que no se puedan aplicar las medidas establecidas, autoriza al responsable para que adopte medidas alternativas que, debidamente motivadas, se describirán en el documento de seguridad. Tarjetas de visita Cuestión distinta, pero también relacionada con la documentación en papel de los despachos, es el procesamiento de la información incluida en las tarjetas de visita. Es frecuente la pregunta de si la obtención de los datos de las personas de contacto a través de estas tarjetas de visita habilita al despacho, y a las empresas en general, a incorporarlos a un fichero y proceder a su tratamiento, es decir, si cabe presumir que existe un consentimiento al tratamiento de los datos en el momento en el que se entrega la tarjeta de visita. Esta cuestión ha sido uno de los temas que se ha tratado de solucionar, nuevamente sin éxito, a través de la aprobación del Reglamento. En primer lugar, parece que el nuevo Reglamento deja fuera del ámbito de la protección de datos de carácter per- 39

4 sonal los datos de las personas físicas que actúan como contactos de personas jurídicas. Así, el artículo 2.2 señala que «este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales». Pero, según hemos comentado ya, la exclusión de la aplicación del Reglamento no puede entenderse en el sentido de excluir tales datos de las reglas de la LOPD. Una vez más, debemos atender al tenor literal de la norma y entender que sólo se excluye la aplicación del Reglamento, pero no el régimen normativo de la protección de datos con carácter general. La LOPD seguirá siendo de plena aplicación. En definitiva, la prudencia nos aconseja esperar a conocer en qué sentido se pronunciarán nuestros tribunales cuando conozcan sobre estos extremos y, por el momento, recomendar, no sólo que se mantengan inscritos los ficheros de contacto en el Registro General de Protección de Datos, sino que no se incluyan los datos de las tarjetas de visita en estos ficheros, salvo que se haya obtenido el consentimiento de los interesados. Promoción y tratamiento de datos en Internet Resulta ya extraño encontrar compañías e, igualmente, despachos que no hayan habilitado su propia página web y que, por lo tanto, no se hayan convertido a los ojos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información (LSSI), en prestadores de servicios de la sociedad de la información. En esta línea, la LSSI impone una serie de obligaciones tales como facilitar una determinada información al usuario. En efecto, cabe resaltar la especial exhaustividad con que el artículo 10 (recientemente modificado por la Ley de medidas de impulso de la sociedad de la información) se pronuncia en relación con la información que cualquier prestador de servicios debe facilitar «a través de medios electrónicos, de forma permanente, fácil y gratuita»; la práctica más extendida es incluir dicha información en la página web a través del denominado «aviso legal». Sin embargo, existen supuestos en los que las características de los servicios que se ofrecen a través de la página web impiden que este deber de información se atienda mediante un aviso legal, de ahí la coletilla del artículo 10: «Sin perjuicio de los requisitos que en materia de información se establecen en la normativa vigente.» La abogacía se ve muy afectada por las limitaciones que regula la normativa de protección de datos Así ocurriría, por ejemplo, si la página web del despacho incluyera un apartado destinado a la recopilación de currículums o si facilitase la posibilidad de prestar servicios directamente a través de medios online una vez recabados los datos necesarios. En efecto, en estos casos el despacho no sólo sería un prestador de servicios de la sociedad de la información, sino que también ostentaría la condición de responsable del tratamiento, propio de la LOPD, por lo que se encontraría obligado a facilitar la información específica del artículo 5 de esta norma. Por otra parte, en relación con el envío de comunicaciones comerciales, hay que señalar que la LSSI establece unas limitaciones al envío de comunicaciones por medios electrónicos que superan con creces los iniciales condicionamientos de la LOPD. Cabe destacar tres aspectos esenciales: la necesaria identificación de toda comunicación comercial como tal y de la persona que la realiza; la necesaria autorización o consentimiento del receptor de no haber mediado una relación contractual previa, y la exigencia de incluir en toda comunicación comercial la posibilidad de que el receptor pueda oponerse mediante un procedimiento sencillo y gratuito. EL DESPACHO COMO ENCARGADO DEL TRATAMIENTO Es evidente que un despacho no sólo puede tratar datos de carácter personal como responsable de determinados ficheros, sino que, en múltiples ocasiones, lo hará en calidad de encargado por cuenta de un tercero, verdadero responsable del tratamiento, ya que el despacho es un prestador de servicios, para cuya actividad los clientes deben depositar en él toda la información que pueda resultar oportuna para la defensa de sus intereses, entre la que habrá, como es lógico, datos de carácter personal. Es decir, del mismo modo que una firma puede tener encargados del tratamiento que deban acceder a sus ficheros para prestarles unos determinados servicios (pensemos en una gestoría encargada de la confección de las nóminas, la empresa de seguridad o de soporte informático, etc.), el despacho podrá llevar a cabo tratamientos de datos responsabilidad de un tercero (el cliente) para el desarrollo de sus servicios de asesoramiento. Pues bien, en este caso existe la obligación de formalizar por escrito estas relaciones, estableciendo las cautelas previstas en el artículo 12 de la LOPD. Debe tenerse en cuenta que, en caso de ausencia de un documento que 40

5 cumpla cabalmente el citado artículo 12, la AEPD califica el acceso a los datos como una cesión del artículo 11, que si no se ha notificado y autorizado por los afectados, sería constitutiva de una infracción sancionada con una multa mínima de euros para el cliente y a partir de euros para el despacho. Por ello, parece esencial que, al aceptar un asunto, el despacho y el cliente firmen un contrato que cumpla los requisitos formales comentados. Operaciones de compra de sociedades Existe una cuestión más compleja relacionada con este problema: la elaboración de las denominadas due diligences (auditorías de empresas en proceso de adquisición por un tercero). Estas auditorías se confían normalmente a los despachos con carácter previo a una operación de compraventa. Resulta lógico que para acordar la operación, la empresa que se va a adquirir permita a los potenciales compradores que accedan a todo tipo de información (también de carácter personal) para que puedan valorarla y hacer su oferta en consecuencia. Cómo formalizar esta relación jurídica? La respuesta teórica a este interrogante es mucho más sencilla que su puesta en práctica. Así, una primera solución sería la obtención por parte de la vendedora del previo consentimiento de los titulares de los datos que necesita facilitar a la posible compradora, informándoles de la cesión y, en consecuencia, de la intención de vender, para que el despacho que vaya a realizar la auditoría legal acceda a dicha información como un encargado de tratamiento de la compradora cesionaria. Obviamente, esta estrategia es inviable. La solicitud del consentimiento de los titulares afectados haría depender la operación de su aquiescencia, lo que es inadmisible. Tampoco resuelve este problema la disociación de los datos para eludir la prohibición legal, ya que este proceso resultaría sumamente costoso y complicado y, en muchos casos, impediría a la adquirente tener la seguridad de estar evaluando correctamente la empresa, al ser la información limitada. El origen de esta dificultad está en que la LOPD sólo admite que el acceso a los datos personales por parte del encargado del tratamiento se justifique en el servicio que preste al responsable del tratamiento, que en este caso es la sociedad que se vende. Por ello, en estos supuestos, actuar en nombre y por cuenta del potencial adquirente resultaría contrario a la LOPD, ya que sería una cesión de datos. En consecuencia, consideramos que la única solución posible en la práctica consistiría en la firma de un contrato entre el despacho y el responsable del tratamiento, aun cuando la auditoría también interese al adquirente y éste haya seleccionado al despacho de su confianza para realizarla. De esta forma, el papel del despacho como defensor de los intereses del adquirente se diluiría, pasando a desarrollar un rol de mediación entre los intereses en juego y actuando, en consecuencia, en interés de ambas empresas y a beneficio de la operación. En definitiva, el sistema se basaría en dar a la firma de abogados un papel de auditor (como en la práctica se denomina al proceso en que interviene) y entender que dicha labor no se desarrolla en interés de ninguna de las partes en concreto, sino a favor del equilibrio económico del negocio efectivamente acordado por las partes. Bajo esta perspectiva, nada impide que la vendedora contrate a la firma de abogados, que deberá ser, obviamente, de la confianza de ambas empresas. Datos de la contraparte Otro aspecto que merece la atención es el hecho de que en muchas ocasiones los abogados accedemos a datos relativos a personas contra quienes nuestros clientes pretenden ejercer acciones legales. Dado que el uso de esa información es absolutamente necesario para el ejercicio del derecho a la defensa, que comparte con la protección de datos el carácter de derecho fundamental, la AEPD siempre ha considerado que en estos supuestos el derecho a la protección de datos debe ceder frente al de defensa, de modo que el tratamiento de dichos datos no puede verse condicionado a la obtención del consentimiento de la persona a quien se refieren, ya que esa limitación dejaría plenamente sin contenido el derecho a la defensa. Subcontratación de servicios Finalmente y como colofón a las cuestiones que hemos tratado en torno a la prestación de servicios por cuenta del responsable del tratamiento, el nuevo Reglamento reconoce expresamente la posibilidad de que el encargado del tratamiento contrate a su vez a un tercero para que se haga cargo de una parte de los servicios, admitiendo expresamente la posibilidad de la subcontratación. Para ello, el artículo 21 requiere que en el contrato de servicios de tratamiento el responsable autorice expresamente la subcontratación enumerando los servicios que se van a subcontratar e identificando al subcontratista y que el tratamiento que desarrolle el subcontratista se ajuste a lo que ordene el responsable. CONCLUSIÓN En definitiva, cabe concluir que el ejercicio de la abogacía se ve muy afectado por las limitaciones que regula la LOPD y que, salvo algunas contadas especialidades en las que existen cualificaciones derivadas de las normas que regulan la práctica profesional, las obligaciones de un abogado en materia de protección de datos coinciden con las de cualquier otro profesional que desarrolla una actividad que le exige el tratamiento de datos de carácter personal. 41