Abogados y clientes desde la perspectiva de la protección de datos.

Análisis sobre la posición del Abogado/Despacho Legal en relación con su relación con los clientes, en materia de protección de datos.

Gracias a un cliente, me he obligado a revisitar este tema, que sigue sin estar claro.

Estamos ante una situación no “pacífica”, en la que la propia Agencia Española de Protección de Datos, a varias consultas realizadas, ha contestado con una remisión a la normativa, y respecto al cual todos estamos dando vueltas a las nueva Guidelines 7/2020 a ver si encontramos la verdad.

Como decía, he revisado de nuevo este tema, y, siendo consciente de una cierto inseguridad, comparto mis conclusiones actuales, absolutamente modificables por nuevas decisiones, dictámenes, resoluciones o normas.

La conclusión a la que he llegado se basa no tanto en la norma (que poca claridad ofrece al respecto), como en Directirces y Decisiones. . He analizado, a estos efectos:

-         Los trabajos del antiguo Grupo 29, que ya emitió una opinión en el año 2010, durante la vigencia de la anterior normativa.

-         Las “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, publicadas en Julio de 2021.

-         Decisiones de la Agencia Española de Protección de Datos.

-         Decisiones y dictámenes ICO (Information Commissioner Office in United Kingdom).

Dentro de este escenario, y admitiendo la ya comentada dosis de inseguridad, (algo a lo que los abogados ya estamos acostumbrados), considero tenemos que tener en cuenta que el Abogado/Despacho Jurídico debe considerarse como responsable y no como encargado del tratamiento, no siendo necesario, por tanto, firmar con el cliente el “contrato de encargado de tratamiento”, y ello en base a los siguientes argumentos:

-         El abogado determina los fines y medios del tratamiento, y el cliente es el interesado.

-         La hoja de encargo (o contrato de prestación de servicios profesionales deberá contener, por tanto, la información que exigen los artículos 13 y 14 del y 14 del RGPD y 11 de la LOPDGDD.

-         El  informe del año 2000 de la Agencia Española de Protección de Datos en la que entendía que no es necesario tener el consentimiento de los contrarios cuyos datos vamos a tratar, ni que es necesario comunicarles nada, por entender que está por encima el derecho recogido en el artículo 24 de la Constitución.

-         En una relación responsable-encargado, el responsable es el único de los dos que determina los fines y medios del tratamiento, y además dará instrucciones documentadas al encargado, que deberá seguirlas fielmente. Estas notas no se producen en la relación abogado-cliente. El cliente no da instrucciones por escrito de lo que debe hacer el abogado, sino que es este quien libremente determina los medios y estrategias con los que piensa que mejor va a conseguir la satisfacción de los intereses del cliente en el asunto que le encomienda.

-         De acuerdo con el estatuto de la Abogacía, la Abogacía es una profesión libre e independiente que presta un servicio a la sociedad en interés público por medio del consejo y la defensa de derechos e intereses públicos o privados, mediante la aplicación de la ciencia y la técnica jurídicas.

-         El Grupo de Trabajo del artículo 29 indica que (como en el caso de los abogados), “los conocimientos profesionales del proveedor de servicios desempeñan un papel predominante, que puede traer consigo su condición de responsable del tratamiento”.  En este sentido “la representación ante los tribunales, actividad para la cual estas profesiones tradicionalmente cuentan con su propia base jurídica, y no en el mandato del cliente, es lo que imprime la característica principal a la actividad legal. El Grupo de Trabajo concluía que “estos profesionales deben considerarse «responsables del tratamiento» independientes cuando tratan datos en el marco de la representación legal de sus clientes”.

-         En un sentido similar, en 2014 la Information Commissioner´s Office (ICO) del Reino Unido concluyó que los abogados pueden ser un buen ejemplo de proveedores de servicios profesionales que no son encargados del tratamiento, porque determinan qué información obtener y tratar para hacer su trabajo.

-         Finalmente, la Directriz 27 de las Guidelines 07/2020, indica específicamente, con referencia a firmas legales, que ante un encargo, el abogado necesita procesar datos personales para atender a su cliente, pero dicha representación no va dirigido, directamente, al procesamiento de datos, ni está sometido a las instrucciones del cliente. En efecto, el abogado actúa con un alto grado de independencia, por ejemplo, decidiendo cual es la información a utilizar y cómo usarla, sin que reciba instrucciones por parte el cliente sobre cómo procesar la información. La actividad legal se encuentra a sí vinculada a una actividad legal, y el papel del abogado debe ser considerado como responsable del tratamiento.

El elemento diferenciador, es, en definitiva, que en relación con el tratamiento de los datos el abogado toma decisiones que corresponden al responsable del tratamiento. La labor del Abogado no es procesar los datos, sino, como responsable, utilizarlos y gestionarlos para cumplir en mandato profesional recibido del cliente.