Como decimonovena entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre el uso de Lexnet y sus implicaciones en la protección de datos personales.
El caso práctico
“El despacho jurídico “De La Torre Abogados” hace un amplio uso de Lexnet para remitir y recibir diversa documentación a los tribunales de Justicia. El problema es que Lexnet no siempre funciona como debiera.
El pasado mes de Julio Lexnet registró un grave problema de seguridad debido a un error de diseño de la plataforma en la que otros usuarios han podido acceder y manipular expedientes judiciales ajenos, y los datos personales que contenían.
¿Hasta dónde alcanza la responsabilidad de “De La Torre Abogados” sobre los datos personales volcados en la plataforma Lexnet?”
Comunicación de datos personales
Cualquier envío de datos de carácter personal a toda persona o entidad ajena al despacho constituye una comunicación de datos personales, teniendo todas las partes implicadas en dicha comunicación el deber de observar secreto sobre los citados datos.
El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.
Como ya vimos en anteriores entregas no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, y la introducción de los datos en el sistema Lexnet, lo es.
Aún cuando no sea necesario el consentimiento previo del afectado, se deberá informar por escrito que sus datos personales se van a introducir en el sistema Lexnet y dónde puede el afectado ejercer sus derechos respecto a esos datos cedidos.
El deber de secreto
Según la normativa en materia de protección de datos personales, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos.
Es decir, desde el momento del envío y registro de la información el deber de secreto recae sobre el Ministerio de Justicia, responsable del sistema Lexnet, que está obligado a guardar esos datos de forma adecuada. El deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia personas o entidades ajenas a Lexnet, como internamente a usuarios o entidades dadas de alta en el sistema que no tengan necesidad de conocer esa información en el ejercicio de sus funciones.
El incumplimiento del deber de secreto constituye una infracción grave según la normativa en materia de protección de datos personales.
Responsabilidad activa
El nuevo “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa.
Las empresas, administraciones y profesionales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.
Por ello se deben adoptar medidas que eviten o mitiguen perjuicios aún cuando la responsabilidad del tratamiento recaiga sobre terceros como en el caso de Lexnet. Las medidas a aplicar deberán tener en cuenta:
- El estado de la técnica.
- La naturaleza, contexto, ámbito y fines del tratamiento.
- El coste de la aplicación de las medidas.
- Los riesgos inherentes al tratamiento y la probabilidad de causar perjuicios a los derechos y libertades de las personas físicas.
- La cantidad de datos personales recogidos.
- La duración en el tiempo del tratamiento de dichos datos y su conservación.
- Grado de accesibilidad de los datos.
Responsabilidad en caso de mal funcionamiento de Lexnet
Como ya hemos visto, la responsabilidad en caso de un mal funcionamiento de Lexnet recae, en primera instancia, sobre el Ministerio de Justicia. Es el caso del fallo de seguridad descubierto el pasado mes de Julio, consistente en que si un usuario validado en el sistema introducía en la barra de navegación el ID de otro usuario, automáticamente tenía acceso a todos los documentos de ese usuario, pudiendo copiarlos o eliminarlos.
En este caso, la responsabilidad de no haber mantenido el deber de secreto sobre la información recae sobre el Ministerio de Justicia, y en segundo lugar, sobre los proveedores de servicios de sociedad de la información que hacen posible el funcionamiento de la plataforma Lexnet.
Las responsabilidades directas de letrados y procuradores sobre la información subida a Lexnet concluyen desde el preciso momento en el que quedan registradas en la plataforma.
Aún en el caso de que la plataforma Lexnet se viera comprometida por causa de que el equipo informático usado por el letrado contuviera un virus informático o similar, que incluso operara Lexnet de forma autónoma en nombre del letrado, la responsabilidad seguiría recayendo sobre el Ministerio de Justicia, toda vez que el sistema informático Lexnet, al igual que los sistemas bancarios, deben tener en cuenta esta posibilidad desde su diseño para evitar esta circunstancia. Se debe garantizar en todo momento que quien opera el sistema es el letrado o procurador autorizado para ello.
Medidas a adoptar ante un mal funcionamiento de Lexnet
Por responsabilidad activa, deberemos de registrar y almacenar en el despacho toda información subida a Lexnet, por si esta pudiera verse alterada o destruida, al objeto de minimizar sus efectos en los clientes del despacho, evitando que se vean lesionados sus intereses.
Por ello les recomiendo almacenar una copia digitalizada de cada documento de Lexnet junto a una anotación de la fecha y la hora en la que se subió dicha información a la plataforma, la cual ya de por sí, al igual que todo registro general electrónico, debería emitir un documento acreditativo de la información subida a la plataforma, indicando fecha y hora.
Insisto en que se almacene una copia digitalizada ya que, en caso de problema, los metadatos de dicho fichero electrónico permitirán a los peritos informáticos discernir sobre el problema en caso de ser necesario.
A estos datos deberán aplicárseles las medidas de almacenamiento establecidas en nuestro despacho aplicadas a las copias de documentos.
Tenga en cuenta que, a tenor de lo anterior, en caso de destrucción o alteración de documentos dentro de la plataforma Lexnet es el Ministerio de Justicia el responsable de demostrar de forma indubitada la cadena de custodia sobre dichos documentos electrónicos desde el mismo momento de su registro y que, en caso de no poder hacerlo, se estaría afectando a la tutela judicial efectiva, pudiendo anularse por completo un proceso judicial.
Informe a su cliente que declina toda responsabilidad sobre la información subida a la plataforma Lexnet como medida preventiva para delimitar su responsabilidad.
En resumen
Como siempre, le recomiendo sentido común. No es ningún secreto la gran cantidad de problemas que presenta la plataforma Lexnet dependiente del Ministerio de Justicia. Por ello le recomiendo que implemente “cortafuegos” internos para limitar la responsabilidad de su despacho en caso de que le pueda afectar alguna de las habituales incidencias.
Como ya le he comentado, el responsable del tratamiento a partir del registro de documentos, el responsable de preservar la cadena de custodia documental y el responsable de guardar secreto sobre los datos es el Ministerio de Justicia.
Por tanto, limite su responsabilidad informando a su cliente de la cesión de datos que se va a producir, cómo puede ejercitar sus derechos ante el Ministerio de Justicia y preserve copia de todos los ficheros que suba a la plataforma Lexnet debidamente custodiados y registrados.
Les espero en la próxima entrega: “Caso práctico: Datos personales ante absorción o adquisición del despacho por otra entidad”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación