La normativa vigente en materia de protección de datos personales y garantías digitales 03/2018 de 5 de diciembre, así como el RGPD 2016/679 establecen dos tipos de figuras específicas: RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES y el ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES.
[box type=»warning»] Art 4 del RGPD 7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros; 8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable [/box] La normativa vigente en materia de protección de datos personales y garantías digitales 03/2018 de 5 de diciembre, así como el RGPD 2016/679 establecen dos tipos de figuras específicas: RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES y el ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES.
En el ámbito del ejercicio de las actividades profesionales, y en especial, en el ámbito de las actividades de prestación de servicios profesionales a terceros relacionadas con el ámbito jurídico (asesoramiento legal, defensa letrada, asesoramiento y defensa en materia laboral, etc), nos encontramos con que el profesional o empresa en cuestión ha de tratar datos de carácter personal de sus clientes, pero también datos de carácter personal dentro de su propia actividad (datos de sus propios trabajadores, por ejemplo).
En determinados casos resultará muy sencillo determinar qué papel juega del despacho profesional:
Ej: En cuanto a los datos de los propios trabajadores del despacho: Resulta evidente que el titular del despacho/empresa será RESPONSABLE DEL TRATAMIENTO DE ESTOS DATOS con independencia de que la gestión de dichos datos se haga por sí mismo o la lleve a cabo un tercero (pongamos el caso de la gestión de las nóminas: La gestión de las nóminas de los trabajadores de un despacho profesional es un tratamiento de datos específico, el cual puede ser llevado a cabo de forma directa por el despacho, o bien se puede encomendar a un tercero, como una asesoría, el cual sería ENCARGADO DEL TRATAMIENTO DE ESTOS DATOS).
Pero la actividad diaria de un despacho de estas puede abarcar determinadas actuaciones para las que puede existir dudas acerca de si nos encontramos con un tratamiento de datos para el que somos RESPONSABLES DE TRATAMIENTO o bien ENCARGADOS DE TRATAMIENTO:
CRITERIOS QUE NOS AYUDARÁN A DISCERNIR QUIÉN ES UN RESPONSABLE DE TRATAMIENTO Y TRATAMIENTOS CONCRETOS EN EL ÁMBITO DE LOS DESPACHOS PROFESIONALES
Responsable del tratamiento: La definición que ofrece la normativa nos indica que será Responsable de tratamiento aquel que tiene capacidad para determinar los fines y medios del tratamiento de datos de carácter personal, en el sentido en que decide sobre la finalidad para la que se recogen y tratan los datos, cuando decida cuál va a ser el contenido del tratamiento, qué datos personales se van a tratar y qué uso se les va a dar. En el ámbito jurídico, se puede recibir el encargo profesional de llevar la defensa letrada de un cliente, pero en estos casos el cliente no decide qué datos se van a tratar ni para qué, es el profesional el que requiere los datos que entiende necesarios para poder llevar a cabo de la mejor manera posible la defensa letrada de su cliente. Será el profesional el que decida qué datos solicita, para qué los solicita, en qué fase procesal se aportan, etc.
- El responsable del tratamiento siempre será el titular de la relación profesional con el cliente, ya sea el titular del despacho profesional o la empresa (SLP, SL…) bajo cuya forma jurídica se opera (Es decir, responsable es la persona física o jurídica a la que el cliente realiza el encargo profesional y no la persona encargada de llevar el caso dentro del despacho, la cual, evidentemente, deberá observar tanto la obligación de secreto profesional inherente a su condición de letrado como el deber de confidencialidad y cumplimiento de la normativa de protección de datos personales)
- En los casos en que nos encontremos con tratamientos de datos derivados de la defensa letrada, la relación que existirá entre profesional y procurador no será la de responsable del tratamiento-encargado del tratamiento, sino que ambas figuras tendrán la condición de responsables de tratamiento.
- Los profesionales colaboradores del despacho, si reciben el encargo e instrucciones del despacho para llevar a cabo el asunto serán encargados del tratamiento, o según las circunstancias, corresponsables del tratamiento de los datos personales afectados.
Encargados de tratamiento: Aquel que recibe el encargo de llevar a cabo un tratamiento de datos personales por cuenta de un responsable del tratamiento. En estos casos, el despacho o entidad adoptará medidas y decisiones relacionadas con cómo llevar a cabo el tratamiento (operaciones a llevar a cabo, organización interna, etc) pero no puede alterar la finalidad y el uso de los datos objeto de tratamiento. En este sentido, el encargado del tratamiento de datos debe ser respetuoso con las instrucciones dadas por el responsable del tratamiento.
En el ámbito jurídico se pueden dar muchos casos en los que se ostente la figura de encargado de tratamiento:Casos en los que el despacho recibe un encargo profesional para la defensa letrada de un asunto (recordemos que aquí el profesional sería responsable del tratamiento) y cuya llevanza se “externaliza” a un colaborador externo, otro profesional. En estos casos, hemos comentado ya que este colaborador sería encargado del tratamiento.
Despachos que trabajen por el sistema de igualas con algunos de sus clientes: Nos estamos refiriendo a casos en los que el despacho actúa bajo convenio, acuerdo de colaboración o contrato con un cliente por el cual se comprometen a llevar los asuntos presentes pero también los que puedan surgir en adelante: Puede ocurrir en casos en los que se trabaje para empresas que les encomiendan la defensa letrada presente y futura sobre diferentes asuntos que todavía no se han producido (por ejemplo, la llevanza de asuntos para entidades bancarias, aseguradoras, grupos de empresas, donde se establecen convenios de colaboración)
También se puede dar en aquellos casos de asesoramiento jurídico continuado (Asesoramiento a empresas en los que se lleva la gestión de sus obligaciones fiscales, laborales, contables, muy propio en las asesorías jurídicas, gestorías, etc) En estos casos la figura del despacho será la de encargada del tratamiento.
En los casos de despachos profesionales que comparten sistemas de gestión (tipo MN program o análogos, que permiten dar de alta clientes y asuntos, que permiten también enlazar con la conexión a LEXNET, etc) y donde se puede trabajar temas del despacho y temas propios al mismo tiempo: Hemos de poder diferenciar cuando se trabajan los propios asuntos (responsable) y cuándo se trabajan los asuntos que le deriva el despacho “matriz” (encargado). En estos casos sería importante poder establecer algún criterio organizativo y lógico que permita diferenciar unos de otros, de manera que exista un control al acceso para cada tipo de archivos. Este tipo de situaciones es muy propio en despachos profesionales donde existe una firma principal que engloba a los diferentes profesionales del despacho, pero donde después, cada uno de ellos puede disponer de la autonomía necesaria para llevar sus propios asuntos de manera independiente.
Una vez hemos marcado las diferentes formas bajo las que puede operar un despacho profesional, y si los diferentes tratamientos de datos los estamos llevando a cabo bajo la figura de RESPONSABLES o bien en calidad de ENCARGADOS, tenemos que acreditar que el tratamiento de datos se lleva a cabo por alguno de los medios admitidos por la normativa, que son los siguientes:
[box type=»info»] Art 6 RGPD 1. Consentimiento 2. Relación contractual 3. Protección de intereses vitales del interesado. 4. Obligación legal del responsable 5. Interés público o ejercicio de poderes públicos 6. Intereses legítimos que no choquen con los derechos del interesado. [/box]
En el ámbito de un despacho profesional, las vías más usuales serán la relación contractual, la obligación legal del responsable y su propio consentimiento. La prevalencia de un interés legítimo habrá de calibrarse y demostrarse fehacientemente antes de llevar a cabo un tratamiento de datos basado en el interés legítimo.
En los casos de tratamiento de datos basados en el consentimiento o la relación contractual hemos de tener en cuenta de qué manera probar que estamos tomando las medidas necesarias según el tipo de figura que ostentemos:
En el caso de responsables de tratamiento: Mediante la firma de hojas profesionales, contratos de prestación de servicios donde se haga constar esta condición y donde se reflejen las obligaciones de cada parte en esta materia. En el caso de asuntos del turno de oficio podría bastar la designación como tal ante el turno, pudiendo entenderse que el tratamiento se lleva a cabo como responsable, y su base podría entenderse amparada por el deber de cumplimiento de una obligación legal, dado que la renuncia está tasada y acotada a los supuestos legales establecidos.
En el caso de encargados de tratamiento: Mediante la firma de contratos de encargado de tratamiento, donde se haga constar: la base jurídica bajo la que se ampara el tratamiento de los datos de carácter personal, la finalidad del tratamiento, la tipología de interesados afectada por este tratamiento, la tipología de datos afectados y las obligaciones de ambas partes. En posteriores artículos pasaremos a detallar el contenido de un contrato de encargado de tratamiento entre profesionales del derecho.
Álvaro Orts Ferrer | Abogado ICAV 10935 |www.ortsconsultores.es