Como quinta entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo a las comunicaciones de datos personales, el acceso a dichos datos por parte de terceros y el consentimiento de los afectados.
Comunicación de datos personales
Cualquier envío de datos de carácter personal a toda persona ajena al despacho constituye una comunicación de datos personales. Como ya vimos en una anterior entrega, todas las partes implicadas en dicha comunicación tienen el deber de observar secreto sobre los citados datos.
Lo primero que deberemos tener en cuenta antes de enviar datos a terceros o permitir el acceso a los mismos, es que solo podrán ser usados para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.
Acceso a los datos por cuenta de terceros
Tal y como ya les indiqué en lo relativo al deber de secreto, un caso especial de comunicación es el acceso por cuenta de terceros vinculados al despacho. No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al despacho.
La realización de tratamientos por cuenta de terceros tiene que estar regulada en un contrato que deberá constar por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar e indicaciones de cualquier otra índole sobre el tratamiento de los datos.
El consentimiento del afectado
Como ya se ha visto, una pieza fundamental, tanto en el tratamiento como en la comunicación de datos de carácter personal es el consentimiento del afectado. Según la normativa vigente, el tratamiento de los datos de carácter personal, así como su cesión, requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Es decir, no se necesitará recabar el consentimiento de los clientes para tratar sus datos personales al objeto de prestar representación jurídica o cualquier otro servicio, o para dar traslado de esos datos a la Administración de Justicia, siempre y cuando no se usen con ningún otro fin. Tampoco se necesitará el consentimiento del cliente cuando terceros deban acceder a esa información en el marco de una prestación de servicios al bufete. Eso sí, deberá delimitar el alcance y responsabilidades en el correspondiente contrato de servicios.
En los casos en los que se debe comunicar a un tercero esos datos, como por ejemplo, a un procurador, sí debe recabarse el consentimiento del cliente. Dicho consentimiento debe ser:
- Libre, lo que supone que deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
- Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento
- Informado, es decir que el afectado conozca, con anterioridad a la operación para la que se le solicita consentimiento, las finalidades para las que se le pide autorización.
- Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.
De lo que se ha indicado no se desprende que el consentimiento deba ser expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente. Así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.
Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento o la cesión de datos implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento o cesión de datos y de la existencia de ese plazo para evitar que se proceda al mismo.
El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave.
Recomendaciones
La primera recomendación que le hago una vez más, querido lector, es que use el sentido común. No utilice jamás los datos de carácter personal encomendados para fines distintos para los que se le han entregado.
Adicionalmente, recabe siempre el consentimiento de su cliente para la cesión de datos al procurador al único objeto de lo estipulado en las condiciones para el ejercicio de la procura.
Para aquellos otros profesionales o entidades que presten servicios directamente al bufete, delimite muy bien en los contratos de servicios a qué tipos de datos personales se va a acceder, con qué fin y que las medidas de seguridad a implementar durante la prestación de servicios corren a cuenta del prestatario.
Finalmente, estipule en el contrato de servicios con su cliente las condiciones y el objeto para el que van a ser recabados los datos de carácter personal así como la forma de ejercer los derechos sobre los mismos.
Les espero en la próxima entrega: “Derechos de los afectados sobre sus datos personales”.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación