LOPD EN DESPACHOS DE ABOGADOS

Protección de datos: conceptos, objetivos y principios básicos

Tribuna
Pedro-Torre-Rodriguez_EDEIMA20160302_0004_1.jpg

Como primera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les introduciré al entorno de la protección de datos de carácter personal.

Entorno jurídico

Las reglas y principios a cumplir están determinadas por la siguiente legislación:

  • Ley Orgánica de Protección de Datos (15/1999)
  • Reglamento de desarrollo de la LOPD (R.D. 1720/2007)
  • Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales.
  • Ley 34/2002 de Servicios de Sociedad de la Información

La autoridad competente en materia de protección de datos de carácter personal en España es la Agencia Española de Protección de Datos (AEPD)

Principios básicos

Como principio fundamental a conseguir con las medidas de protección de datos personales conviene grabarse, y tener muy claro, lo siguiente: 

“Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Todo lo concerniente a la protección de datos personales gira entorno a lo anteriormente descrito, y en caso de duda o controversia, deberemos remitirnos a ello.

Adicionalmente les recomiendo que, antes de que empiecen a plantearse cualquier tipo de medida para garantizar lo anteriormente descrito, tengan muy en cuenta estas recomendaciones:

  1. Pregúntese por qué, para qué, cómo, hasta cuándo y dónde. Planifique.
  2. Aproveche para incorporar al bufete procesos de gestión y control. Procedimente y supervise.
  3. Aproveche para asegurar la información sensible de su bufete además de los datos de carácter personal. Seguridad por encima de todo.
  4. Como premisa, garantice siempre los derechos de las personas sobre su información.

Objetivos

Muchas empresas y profesionales se toman la legislación como un fastidio burocrático e intentan implementar medidas que les eviten denuncias y multas. A mi juicio esa actitud es un tremendo error que, para colmo, casi nunca evita que sufran denuncias y multas.

Al implementar las medidas de protección de datos de carácter personal en el bufete se puede aprovechar para la mejora en dos áreas fundamentales en este tipo de despacho profesional: la gestión y el control.

Por ello los objetivos son muy claros:

  1. Introducir procedimientos de funcionamiento en el despacho, de los que carecen la mayoría.
  2. Disponer de elementos de consulta y apoyo a la hora de funcionar en el despacho.
  3. Capacidad de auditar y mejorar el funcionamiento del despacho.
  4. Delimitar responsabilidades de los integrantes del despacho y del propio despacho ante cualquier incidencia.
  5. Introducir elementos de seguridad en la custodia y gestión de información sensible.
  6. Afrontar con mínimas garantías el aumento de las ciberamenazas.

En general, las empresas y despachos profesionales en España no tienen costumbre de procedimentar su funcionamiento por escrito, tendiendo a un funcionamiento anárquico y a veces imprevisible e incontrolable. Las medidas de protección de datos de carácter personal, ya que está obligado a implantarlas, deben servirle adicionalmente para optimizar el funcionamiento de su bufete.

Conceptos básicos

Si bien no pretendo entrar a fondo en los conceptos legales vinculados con la protección de datos de carácter personal, sí es conveniente que les relacione una serie de conceptos que van a estar muy presentes a lo largo de esta serie de artículos:

  • Datos de carácter personal: cualquier dato concerniente a personas físicas identificadas o identificables.
  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  • Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.
  • Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo, o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordina y controlar las medidas de seguridad aplicables.
  • Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento.
  • Persona identificable: Toda persona cuya identidad pueda determinarse directa o indirectamente mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
  • Tercero: La persona física o jurídica, pública o privada, u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
  • Consentimiento del interesado: Toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  • Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes, y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
  • Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.
  • Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
  • Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.
  • Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.
  • Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español

Recomendación

Como ya le he indicado, antes de ponerse manos a la obra con la protección de datos personales en el bufete conviene que planifique, tenga claros sus objetivos y que consulte con profesionales legalmente habilitados que le asesoren.

Su bufete funcionará mucho mejor, se lo aseguro.

Les espero en la próxima entrega: “Responsabilidad activa: desafíos en el despacho para implementar la protección de datos”


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación