Como decimoséptima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre cesión de datos personales a procuradores para el ejercicio de la procura.
El caso práctico
“El despacho jurídico “De La Torre Abogados” va a proceder a la cesión de datos personales de D. Daniel De La Torre a la procuradora Dña. María Ruiz para que realice las labores de procura necesarias para un caso judicial en la provincia de Almería.
¿Cómo deben proceder los miembros de “De La Torre Abogados” para no incumplir la normativa en materia de protección de datos, en especial lo relativo a deber de secreto y cesión de datos personales a terceros, evitando una cuantiosa multa?”
Deber de secreto
Como comenté anteriormente en esta serie de artículos el deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia el exterior del despacho, como internamente, a personas que no tengan necesidad de conocer esa información en el marco de la prestación de servicios jurídicos.
Están obligados al secreto y al deber de guardar esos datos, el despacho como persona jurídica, los integrantes del mismo, los terceros a los que se ceden esos datos, como es el caso de los procuradores, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal.
Comunicación de datos
Los datos de carácter personal solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar. Esto se aplica directamente al caso de comunicación de datos a los procuradores.
El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable, por lo que deberán explicarse al interesado los medios para revocar dicho consentimiento.
De no observar lo anterior, sepa que estaría incumpliendo su deber de secreto.
¿Por qué se trata de una comunicación de datos y no de un acceso por parte de terceros?
Es importante tener claro que en el caso de la comunicación de datos personales a los procuradores en el ejercicio de la procura, se está ante una comunicación de datos y no de un acceso por parte de terceros, a fin de que no metamos la pata.
Únicamente no se considera comunicación de datos el acceso de un tercero a la información cuando dicho acceso es necesario para la prestación de un servicio al despacho como tal.
En el caso de la procura, el servicio del procurador va destinado a nuestro cliente, no al propio despacho, por lo que se está ante una comunicación de datos que, de no realizarse correctamente, vulneraría el deber de secreto.
¿Tenemos que requerir el consentimiento a nuestro cliente?
Así es. Como le he indicado anteriormente, en toda comunicación de datos a terceros hay que requerir de consentimiento previo a nuestro cliente y únicamente para fines relacionados con el servicio jurídico prestado. Este consentimiento se puede incluir como parte del clausulado de la prestación de servicios al cliente del despacho, pero les recomiendo que lo hagan de forma separada. ¿Por qué? Porque deberán identificar en cada caso al procurador que se vaya a hacer cargo de los datos personales para ejercer la procura.
El documento del consentimiento deberá contener:
- Objeto de la comunicación de datos.
- Identidad del procurador al que se ceden los datos.
- Breve descripción de los datos personales cedidos.
- Periodo durante el cual estará en vigor la cesión de datos.
- Procedimiento detallado para revocar la cesión de datos.
- Autorización expresa de nuestro cliente mediante clausulado y firma.
Únicamente mediante consentimiento expreso se podrán ceder los datos personales a los procuradores.
¿Tenemos que requerir una declaración responsable al procurador/a?
Así es. En el marco de la cesión de datos personales de uno de nuestros clientes, deberemos asegurarnos de que el procurador al que se ceden los datos cuenta con las medidas de índole organizativo y técnico para dar cumplimiento a sus obligaciones legales respecto de los datos personales cedidos, así como de cuál es el procedimiento para ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Por ello, la declaración responsable deberá contener:
- Identidad del procurador
- Breve descripción de los datos personales cedidos y objeto de la cesión
- Declaración del procurador de que ha puesto en práctica las medidas de índole organizativo y técnico que le permiten dar cumplimiento a lo establecido en la normativa en materia de protección de datos personales.
- Descripción detallada sobre cómo se pueden ejercer ante dicho procurador los derechos de acceso, rectificación, cancelación y oposición.
- Fecha de validez de la cesión de datos, tras la cual el procurador deberá proceder a su bloqueo y posterior destrucción.
- Firma del procurador y de representante del despacho.
Con ello estaremos limitando la responsabilidad del despacho en caso de que exista una filtración de datos personales, además de, por supuesto, dar cumplimiento correctamente a la normativa en materia de protección de datos personales.
¿Cómo le comunicamos los datos al procurador/a?
Normalmente la comunicación de datos al procurador se produce mediante e-mail, aunque despachos más tradicionales optan por la comunicación postal, entrega presencial o fax.
Tengan en cuenta que, si los datos personales contienen datos especialmente sensibles, deberá adoptar las medidas para evitar que pueda ser accedido o manipulado por terceros no autorizados.
En el caso del e-mail deberá remitir los ficheros encriptados mediante clave, evitando remitir dicha clave en el mismo mail en el que se envían los ficheros. Si realiza comunicación postal la información deberá estar contenida en una carpeta, figurando en su portada la condición de datos confidenciales y su destinatario una vez abierto el sobre. Si realiza entrega presencial, deberá realizarla mediante carpeta o maletín cerrado, bien con un precinto, bien con llave. Le desaconsejo totalmente el fax, ya que no es posible saber si la persona que los recibe al otro lado está debidamente autorizada.
¿Qué pasa si cedemos los datos al procurador sin más?
Pasa que estaremos incumpliendo el deber de secreto respecto de los datos personales de nuestro cliente, cometiendo una falta grave, penada con multa de 60.000€ a 300.000€. Como ve, esto no es ninguna broma.
Hasta ahora la Agencia Española de Protección de Datos no tiene capacidad inspectora, aspecto que cambiará el año que viene. Mucho cuidado.
Recomendaciones
Una vez más, le recomiendo sentido común. Explique por escrito las condiciones de la cesión de datos a su cliente y recabe garantías al procurador de que se hace responsable de esos datos personales a partir de su cesión. Limite la responsabilidad de su despacho ante cualquier incidente.
Si tiene dudas de índole técnica sobre cómo debe realizar las cesiones de datos a procuradores no lo dude, consulte con un profesional cualificado y ahórrese disgustos.
Soy consciente de que una buena mayoría de profesionales jurídicos no realiza lo descrito al ceder datos personales a los procuradores, por lo que les recomiendo que se tomen este artículo con la mayor seriedad y lo pongan en práctica cuanto antes.
Les espero en la próxima entrega: “Caso práctico: Lexnet”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación