Como vigésima y última entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre la gestión de datos personales durante la absorción o adquisición del despacho jurídico por otra entidad.
El caso práctico
“El despacho jurídico “De La Torre Abogados” ha sido adquirido por el despacho “Rodríguez Abogados”. “De La Torre Abogados” mantiene su personalidad jurídica, sin embargo, todas las decisiones y directrices provienen de “Rodríguez Abogados”, que actúa como matriz del consorcio creado.
¿Qué pasa ahora con los datos personales gestionados por “De La Torre Abogados”?”
El responsable de los ficheros
Como ya se ha comentado en anteriores artículos, el responsable del fichero o tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, uso o contenido del tratamiento.
En este caso concreto se daría un cambio de responsable del fichero, de “De La Torre Abogados” a “Rodriguez Abogados”. Este cambio se puede abordar de dos maneras:
- Modificar los ficheros registrados ante la Agencia de Protección de Datos Personales por “De La Torre Abogados”.
- Suprimir los ficheros registrados ante la Agencia de Protección de Datos Personales por “De La Torre Abogados” y trasvasar toda la información a los ficheros registrados ante la Agencia de Protección de Datos Personales por “Rodríguez Abogados”.
Dado que ambas entidades van a tener unas finalidades similares sobre los datos personales tratados, lo más limpio y eficiente sería trasvasar la información personal registrada por “De La Torre Abogados” a los ficheros registrados por “Rodríguez Abogados” y proceder a la baja de los ficheros de “De La Torre Abogados”. Será esta opción la tratada en el caso práctico.
Responsabilidad activa
Las empresas y profesionales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.
Las políticas de responsabilidad activa que tuviera implementadas “De La Torre Abogados” deberán ser observadas por “Rodríguez Abogados” e incorporadas a su vez a sus políticas de responsabilidad activa.
Deber de secreto
Como comenté anteriormente en esta serie de artículos el deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia el exterior del despacho, como internamente, a personas que no tengan necesidad de conocer esa información en el marco de la prestación de servicios jurídicos.
Están obligados al secreto y al deber de guardar esos datos, el despacho como persona jurídica, los integrantes del mismo, los terceros a los que se ceden esos datos, como sería el caso de la cesión de los datos al despacho “Rodríguez Abogados”, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal.
De hecho, todos los deberes contraídos por “De La Torre Abogados” sobre los datos de carácter personal pasan a ser adquiridos por “Rodríguez Abogados” en el momento de la cesión de datos.
Comunicación de datos
Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar. Esto se aplica directamente al caso de comunicación de datos a los procuradores.
El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable, por lo que deberán explicarse al interesado los medios para revocar dicho consentimiento.
En este caso, “Rodríguez Abogados” deberá informar a toda persona afectada sobre el trasvase de sus datos personales recabando su consentimiento expreso. A su vez, deberá informar que, de no darse dicho consentimiento se procederá al bloqueo de los datos personales y a su trasvase para el cumplimiento de requerimientos posteriores y, cumplidos los plazos, a su destrucción.
En el caso de personas afectadas con contrato en vigor con “De La Torre Abogados”, no será necesario recabar el consentimiento expreso por ser necesario el tratamiento para el cumplimiento de los fines contractuales, pero sí deberá informarse a los afectados de que el nuevo responsable sobre sus datos personales es “Rodríguez Abogados”.
Derechos de los afectados
Resulta fundamental para la normativa en materia de protección de datos de carácter personal la garantía de una serie de derechos de las personas sobre sus datos, en especial los que pueden afectar a su intimidad o a su honor. Así mismo, resultan también fundamentales los mecanismos para hacer efectivos esos derechos, mecanismos que deberemos implantar en el despacho de la forma más eficiente posible.
Los derechos de los afectados, como ya se comentó son:
- Derecho de Acceso
- Derecho de Rectificación
- Derecho de Cancelación
- Derecho de Oposición
- Derecho al Olvido
- Derecho a la Portabilidad
Deberá informarse a las personas afectadas de que ahora podrán ejercer los derechos sobre sus datos personales ante “Rodríguez Abogados” y sobre cada uno de los derechos que les asisten, así como del procedimiento a seguir en dicho ejercicio.
Documento de seguridad
El documento de seguridad contiene todas las normas y procedimientos implantados en el despacho a fin de dar cumplimiento a la normativa en materia de protección de datos personales.
El responsable del tratamiento de los datos es el encargado de elaborar este documento y sobre quién recae la responsabilidad de su corrección. Deberá incluir en el mismo todas las medidas técnicas y organizativas orientadas a dar cumplimiento a la normativa vigente, y será de obligado cumplimiento para el personal del despacho así como para terceras partes involucradas en el tratamiento de los datos.
Por ello deberá actualizarse tanto el documento de seguridad de “De La Torre Abogados”, que seguirá existiendo como tal, así como el documento de seguridad de “Rodríguez Abogados”, a fin de reflejar que “De La Torre Abogados” tratará datos personales por cuenta de “Rodríguez Abogados”, las cesiones de datos entre los despachos, el ejercicio de los derechos por parte de las personas afectadas ante “Rodríguez Abogados”, y en definitiva, la nueva realidad surgida tras la adquisición de “De La Torre Abogados” por parte de “Rodríguez Abogados”.
Cada una de las entidades será responsable de los distintos tratamientos de datos personales que efectúe, ya sea por cuenta propia o de terceros, y deberán implementar las medidas apropiadas para garantizar el secreto sobre dichos datos.
En resumen
Una vez más, sentido común. Ante un procedimiento de adquisición, absorción o fusión de despachos, deberá guiarse por estos mismos principios.
Siempre deberá delimitarse claramente quién toma las decisiones sobre la finalidad de los datos personales así como sobre cada uno de los distintos tratamientos que se apliquen a esos datos.
Independientemente de la estructura resultante del proceso, siempre deberá garantizarse el deber de secreto y los derechos de los afectados sobre sus datos personales. Adopte también la costumbre de ser transparente con sus clientes respecto a qué se va a hacer con sus datos en todo momento, y ahórrese problemas.
Y finalmente, ante cualquier duda, y vistas las cuantías de las multas a las que se enfrentaría ante cualquier problema, cuente con profesionales habilitados y de pericia contrastada al enfrentarse a este tipo de problemas. Problemas que, de producirse, pueden acabar incluso con su trabajado prestigio profesional.
Por mi parte, ha sido un placer haber arrojado un poquito de luz durante estas 20 semanas sobre la gestión de datos personales en los despachos jurídicos.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación