«El incumplimiento de la normativa, no solo acarrea sanciones muy elevadas sino también un daño reputacional».
(Andrés Garvi Carvajal)
Los Papeles de Pandora:
«Filtración de 12 millones de documentos secretos de 14 bufetes de abogados, no solo han destapado los secretos financieros de 35 jefes y ex jefes de Estado y más de 330 altos cargos y políticos en 91 países, sino que también ha servido para recordar las obligaciones sobre protección de datos».
El despacho Alcogal, con sede en Panamá, manejó 253 sociedades ligadas a españoles en paraísos fiscales, actividades legales si se declaran a las autoridades donde el beneficiario tiene su domicilio fiscal. Esta filtración se sustenta en el acceso a informes que los bufetes deben remitir a las autoridades cuando detectan alguna ilegalidad.
El bufete que aparece con más frecuencia en los Papeles de Pandora es Trident Trust, que abrió sus oficinas en las islas del canal de la Mancha en 1978. En Iberoamérica, estas actividades puestas al descubierto son del despacho OMC Group, constituido en 1955, con sede en Panamá. También afecta a la reputación de Baker McKenzie, el bufete más grande de EE UU y con oficinas en España, que aparece en la investigación por su asesoramiento en más de 440 empresas registradas en paraísos fiscales, aunque no hay registros internos del despacho entre los archivos filtrados.
Escándalos públicos como los Papeles de Panamá o Football Leaks tienen su origen en una fuga de información en despachos de abogados que evidencian la necesidad de establecer mecanismos de protección de datos en los bufetes.
En España, más del 75% de los 150.000 letrados ejercen en solitario o asociados con otros compañeros en pequeños despachos. La gestión diaria del bufete, la atención personal a clientes y la dedicación a preparar los juicios provocan que los pequeños despachos apenas presten atención a sus obligaciones sobre protección de datos.
Estas carencias en protección de datos “también afectan a despachos medianos”, asegura el abogado Alfonso Pacheco; una insuficiencia no exclusiva de los letrados, “se da en los procuradores, en toda profesión liberal, el mundo empresarial y, casi en mayor medida, en el sector público”.
Muchos letrados olvidan la obligación de cumplir con la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales.
Normativa obligatoria
Los abogados son los responsables del cumplimiento de tratar los datos de manera lícita, que sean exactos, recogidos con fines determinados, adecuados, pertinentes y limitados a lo necesario y además deben ser capaces de demostrarlo, lo que se denomina “responsabilidad proactiva”.
Entre las recomendaciones, cabe destacar diseñar el cumplimiento con rigor y siguiendo las metodologías del Reglamento General de Protección de Datos; utilizar las soluciones en la nube solo de proveedores confiables; en relación con los proveedores, disponer de un contrato adecuado de encargado del tratamiento… pero, sobre todo, garantizar adecuadamente los derechos de las personas.
Confidencialidad
Uno de los principios fundamentales de la abogacía es garantizar la confidencialidad de los datos de sus clientes, que viene reforzado con la obligación del secreto profesional. Los bufetes tienen que tener una especial atención para evitar el acceso ilegítimo a la información y para ello deben tratar los datos de acuerdo con los principios recogidos en la normativa europea. Para autorizar la recogida de datos, lo más adecuado es la hoja de encargo profesional.
En relación al uso de las nuevas tecnologías, los olvidos más comunes son el envío de documentos a través de WhatsApp, utilizar los ordenadores de las dependencias judiciales o colegiales sin eliminar documentos dejados en el escritorio digital, no cerrar debidamente las sesiones de Drive o Dropbox, compartir ordenador con familiares o compañeros o dejar a los hijos que hagan uso del teléfono móvil profesional.
Si ha habido una fuga de datos en el bufete con riesgo probable para los derechos y libertades de sus clientes, los letrados europeos están obligados a notificar esta situación a la autoridad de control competente en un plazo de 72 horas. Pero si el riesgo no solo es probable, sino que se considera alto (como ocurre en los Papeles de Pandora), los profesionales de la abogacía están obligados a notificar esta brecha de seguridad también a los propios interesados sin dilación, con el innegable daño reputacional.
CONTROL DE LA AEPD
- Multas impuestas. En 2020, la Agencia Española de Protección de Datos (AEPD) impuso 167 multas, un 49% más que en 2019, cuando hubo 112. En relación al importe total de las sanciones, en 2019 fue de 6,3 millones, mientras que en 2020 se impusieron más de 8 millones con un incremento del 27%. La abogacía no es un colectivo especialmente sancionado por la AEPD.
- Documentación en la basura. La AEPD apercibió en 2021 a un bufete por tirar a un contenedor de basura ubicado en la vía pública dos bolsas de plástico con documentación relacionada con expedientes del despacho: escrituras, poderes notariales, sentencias, testamentos…
- Burofax indebido. La remisión por un abogado de un burofax relacionado con un procedimiento penal a una persona sin que, a juicio de la AEPD, se tuviera legitimación para ello se saldó con el pago de 1.600 euros como sanción impuesta al bufete. La primera decisión del despacho tras la reclamación fue activar el protocolo de brecha de seguridad y/o fuga de información confidencial y datos personales.
- Reutilizar papeles. La AEPD también sancionó con 2.000 euros a una abogada por reutilizar papel con datos personales de otros clientes en la convocatoria a los inquilinos de un inmueble. Se usó un folio en cuyo reverso aparecían datos de terceros sobre procedimientos en los que la reclamada trabajó como abogada, haciéndolos accesibles sin el consentimiento de sus titulares.
- Web. La AEPD archivó las actuaciones contra un bufete porque este corrigió a tiempo las incidencias de su web en tratamiento de datos personales, política de privacidad y política de cookies