¿Cuántos años puede un abogado guardar un expediente una vez finalizado? 5 ó 15 no es siempre la respuesta correcta

Miniatura noticia

Una de las preguntas más habituales que le suele plantear un cliente abogado al asesor en materia de protección de datos es la siguiente: “Desde que termino un expediente, ¿cuánto tiempo lo puedo conservar?’”… Bueno en el fondo lo que dicen es “oye, en treinta años de ejercicio no he tirado un expediente… ¿lo estoy haciendo bien?”

Y ahí le tienes que explicar que, dentro del principio de calidad en el tratamiento de los datos de carácter personal ya el artículo 4 de la LOPD establecía que eso de quedarte ad eternum con los expedientes, nones, porque su apartado 4 prevé que los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados.

Y luego sigues contándole que esa idea es la misma que se recoge dentro de los principios del artículo 5.1 del erregepedé:

Los datos personales serán mantenidos de forma que se permita la identificación de los afectados no más tiempo del necesario para los fines del tratamiento. Podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos, sin perjuicio de la aplicación de las correspondientes medidas técnicas y organizativas apropiadas que impone el RGPD.

Una vez aclarado que el abogado no puede seguir guardando los expedientes toooooda su vida profesional (y no sirve como argumento el “es que va ser tirar un documento y justo llamarme el cliente para preguntarme si por casualidad guardo los papeles de ese asunto que le llevé hace 20 años”), la siguiente pregunta será “vale. ¿Y cuánto tiempo los puedo guardar”?

Y la respuesta será “possssss… no más tiempo del necesario para los fines del tratamiento”. De ahí podríamos deducir que finalizado (¡¡¡ y cobrado!!!) un asunto, ale, ya no lo puedo conservar más. Pero tenemos que pensar que el abogado siempre puede ser objeto de reclamación derivada de su actividad profesional, por lo que resulta de lo más conveniente poder conservar el expediente para, llegado el caso, poder hacer frente a esa reclamación y acreditar la corrección de nuestra actuación, conservación que viene amparada en mi opinión en la letra f) del apartado 1 del artículo 6 del erregepedé: el interés legítimo.

¿Y cuál es ese plazo durante el que le  pueden presentar al abogado una reclamación derivada de su actividad profesional? Siempre desde la perspectiva civil, tendré que acudir al Código Civil, y en concreto a sus artículos 1961 a 1975. Y como no hay un artículo específico que contemple un plazo determinado de prescripción para este tipo de acción, deberemos centrarnos en el 1964.2, que establece que

Las acciones personales que no tengan plazo especial prescriben a los cinco años desde que pueda exigirse el cumplimiento de la obligación. En las obligaciones continuadas de hacer o no hacer, el plazo comenzará cada vez que se incumplan.

Así que podría responderle al cliente que puede guardar los expedientes 5 años.

¿Y ya está? Pues no. Anda, ¿y por qué no?

Porque ese plazo de cinco años fue introducido por la Disposición final primera de la Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Ley de Enjuiciamiento Civil, siendo el plazo previsto en ese precepto antes de la reforma de quince años.

Eso nos tiene que llevar a fijarnos en cuándo entró en vigor esa modificación. La Ley 42/2015 se publicó en el BOE el 6 de octubre de 2015, y su Disposición final duodécima, apartado 1º, que establece la entrada en vigor de la norma el día siguiente al de su publicación en el BOE, es decir, el 7 de octubre de 2015.

A tenor de esa información podríamos comunicar al compañero y cliente que el plazo de prescripción e indirectamente de conservación del expediente dependerá de la fecha en la que éste se entienda finalizado. Así, si finalizó antes del 7 de octubre de 2015, el plazo sería de 15 años y si lo terminamos del 7 de octubre de 2015 en adelante el plazo se reduciría a 5 años.

¿Sería esa respuesta correcta? No. ¿Y a santo de qué?

Porque la Disposición Transitoria 5ª de la Ley 42/2015 regula el régimen de prescripción aplicables a las relaciones ya existentes en el momento de entrada en vigor de la Ley, y remite para ello al artículo 1939 del Código Civil:

El tiempo de prescripción de las acciones personales que no tengan señalado término especial de prescripción, nacidas antes de la fecha de entrada en vigor de esta Ley, se regirá por lo dispuesto en el artículo 1939 del Código Civil.

¿Y qué nos dice el artículo 1939 del Código Civil?

La prescripción comenzada antes de la publicación de este Código se regirá por las leyes anteriores al mismo; pero si desde que fuere puesto en observancia transcurriese todo el tiempo en él exigido para la prescripción, surtirá ésta su efecto, aunque por dichas leyes anteriores se requiriese mayor lapso de tiempo.

¿Y esto cómo se traduce en la práctica? En mi opinión de la siguiente forma:

Expedientes finalizados desde el 7 (inclusive) de octubre de 2015 en adelante, el plazo de prescripción (y de conservación) será de 5 años.

Expedientes finalizados antes del 7 de octubre de 2015:

  • Si desde el 7 de octubre de 2015 quedan menos de cinco años para que transcurra el plazo de quince años previsto en el art. 1964 antes de la reforma, lo que quede de plazo original.
  • Si desde el 7 de octubre de 2015 quedan más de cinco años para que transcurra el plazo de quince años previsto en el art. 1964 antes de la reforma, cinco años a contar desde el 7 de octubre de 2015, es decir, hasta el 7 de octubre de 2020.
  • Si antes del 7 de octubre ya había transcurrido el plazo de 15 años previsto en el art. 1964 antes de la reforma… hace tiempo, compañero, que no deberías estar en posesión del expediente.

Y todo ello, por supuesto, sin perder de vista que el plazo de prescripción de ejercicio de la acción se puede interrumpir, artículo 1973 del Código Civil, y ello supone, siendo la prescripción de acciones extintiva, el reinicio del plazo, lo que justificaría seguir manteniendo el expediente.

Por último, una advertencia: lo anteriormente expuesto no tiene en cuenta las obligaciones de conservación de determinada documentación que puede imponer la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y financiación del terrorismo, a la que me remito en cuanto al contenido y alcance de esas obligaciones.

Espero que os haya resultado de interés y, sobre todo, de utilidad.


¿Qué va a pasar con los contratos de encargado de tratamiento en vigor concertados antes del 25 de mayo de 2018?

Miniatura noticia

Actualización al pie de la entrada, 8 de agosto 2018.

A partir del 25 de mayo de 2018 todo contrato que se concierte que implique la prestación de un servicio que pueda considerarse como un tratamiento por  cuenta de terceros deberá  tener en cuenta todo lo recogido en el artículo 28 del RGPD.

Ahora bien, llegada esa fecha lo normal es que en cualquier organización nos encontremos con contratos de encargado de tratamiento en vigor concertados bajo el régimen de la LOPD y el RDLOPD que, lógicamente, no cumplen todas las prescripciones del nuevo reglamento europeo.

Dichos contratos no quedarían automáticamente revocados con la aplicabilidad del RGPD, sino que, de acuerdo con las previsiones de la nueva normativa española, actualmente en fase de tramitación, mantendrán su vigencia durante un plazo determinado, debiendo durante el mismo ser adaptados a las nuevas exigencias del RGPD si se quieren mantener pasado ese plazo transitorio.

Ese régimen transitorio se recogería en la disposición transitoria quinta del proyecto de LOPD en los siguientes términos: (más…)


Las enmiendas de los Grupos Parlamentarios a la LOPD 2.0

Miniatura noticia

Parecía que no iba a  llegar nunca, pero ¡por fín han finalizado las infinitas prórrogas del plazo para que los distintos Grupos Parlamentarios presenten sus enmiendas al Proyecto de la LOPD 2.0!

Desde Privacidad Lógica hemos entrado en contacto con los distintos Grupos a fin de que nos faciliten sus respectivas propuestas y poder ofrecerlas a todos los interesados desde este blog. A medida que las vayamos recibiendo las iremos subiendo, para que las podáis descargar.

¿Cuáles se aceptarán y cuáles se rechazarán? Pues con la composición de las cámaras esta legislatura vayan ustedes a saber. Vamos a ver cómo sale finalmente la Ley del Parlamento… y cuándo, que esta es otra: el 25 de mayo está a la vuelta de la esquina.

Esperamos que la información que os ofrecemos sea de vuestro interés y os pedimos que a medidas que vayáis leyendo las distintas propuestas dejéis vuestra opinión en forma de comentario.

 

Actualización: En cumplimiento de lo dispuesto en el artículo 97 del Reglamento del Consejo, las enmiendas de todos los grupos se han publicado en el Boletín Oficial de las Cortes Generales de 18 de abril de 2018. Puedes descargarlo desde el  enlace que hemos incluido a continuación. Dado que con este tendrás acceso a todas de una vez, suprimimos los que te llevaban a las de un grupo en concreto.

Enlaces: (más…)


Privacidad Lógica os felicita la Navidad 2016 y os desea un próspero 2017.

Miniatura noticia

Quien lo iba a decir: ya nos hemos comido 2016, un año marcado, desde la óptica eleopediana, por el Reglamento General de Protección de Datos, que nos trae a todos por el camino de la amargura intentado interpretarlo. El Grupo de Autoridades europeas de protección de datos ya ha empezado a emitir diversas directrices y documentos de preguntas dirigidas a responsables y encargados de tratamiento, y el club del dato patrio espera con impaciencia la publicación del anteproyecto de reforma de la LOPD en el primer trimestre de 2017, del que se ha empezado a hablar en las redes este mes de diciembre.

Aunque este año nos hemos prodigado poco, en Privacidad Lógica no hemos querido saltarnos la costumbre de felicitar la Navidad a todos nuestros amigos y lectores a través de otra de nuestras peculiares postales navideñas.

Ya sabéis todos que Privacidad Lógica es el blog asesor oficial de los Reyes Magos en materia de privacidad. Conscientes de que son un poco dejados en esto del cumplimiento de la LOPD (pero a su edad todo se perdona… mientras nos traigan regalos) en esta ocasión nos han pedido ayuda para intentar cumplir con el deber de información, pero, para no dejarlo todo para el último minuto, incorporando las nuevas exigencias del RGPD como buenamente hemos entendido, que todo está a fecha de hoy en el aire.

 

Si quieres conocer qué tal ha ido la cosa, descárgate nuestra felicitación haciendo click en la imagen.

 

carta-a-los-ninos

 


El abogado ante el deber de información al cliente según el nuevo Reglamento General de Protección de Datos

Miniatura noticia

Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.

Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).

La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:

               De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. (más…)


¿Incide el nuevo Reglamento General de Protección de Datos en la legitimación del abogado para el tratamiento de datos de carácter personal especialmente protegidos de sus clientes?

Miniatura noticia

El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.

De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.

Ahora bien, el tema deja de ser  tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7. (más…)


Sobre el procedimiento equivalente del artículo 15 RDLOPD para la obtención del consentimiento para otras finalidades.

Miniatura noticia

Constituye este artículo la segunda parte del anterior publicado en este blog sobre el artículo 15 RDLOPD, relativo a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Recordemos la redacción del precepto:

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

 En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

En el  post previo nos centramos en la redacción la leyenda (en positivo o negativo) que debe acompañar a la casilla a la que se refiere el precepto “se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato”.

Hoy quiero hablar sobre el establecimiento de ese procedimiento equivalente que permita al interesado manifestar su negativa al tratamiento de sus datos para otras finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. (más…)


El consentimiento para otras finalidades del artículo 15 RDLOPD: ¿casilla más leyenda, en positivo o en negativo?

Miniatura noticia

El artículo 15 del RDLOPD establece que si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, nos dice el precepto, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Olvídese el lector por ahora de lo de “procedimiento equivalente”, que espero sea objeto de un post posterior (estamos en ello), y céntrese en el sistema que el legislador bendice: la existencia de una casilla, claramente visible y no pre marcada, en el documento en el que se plasmará el contrato.

El asunto que quiero tratar aquí es cómo redactar la leyenda que debe acompañar a la casilla en cuestión: ¿debe redactarse en sentido positivo (Sí quiero), o puedo hacerlo en sentido negativo (No quiero)? La cuestión no es ninguna tontería, por cuanto en el caso de que la redacción sea en sentido positivo solamente podré utilizar los datos de los interesados que hayan expresamente marcado la casilla autorizando ese uso. Por el contrario, si la redacción lo es en sentido negativo podré utilizar los datos de todos aquellos interesados que no hayan manifestado su negativa de forma expresa marcando la casilla. (más…)


Sentencias de la Audiencia Nacional y Tribunal Supremo sobre el “derecho al olvido”.

Miniatura noticia

Cuando ya parecía que dormitaba en un profundo sueño, la reciente sentencia de 15 de octubre de 2015 del Tribunal Supremo Sala de lo Civil, ha vuelto a poner en circulación al bautizado como “derecho al olvido”. Esta sentencia, de manera muy resumida, se pronuncia sobre la aplicación del citado “derecho” a las hemerotecas digitales de los periódicos, que deberán, en el caso de que se ejercite el mismo y proceda su estimación, adoptar las medidas necesarias para evitar la indexación de los buscadores. (más…)


¿Puedo saber quién ha accedido a mi historia clínica?

Miniatura noticia

A resultas de la publicación del post “Fisgar en las historias clínicas no solo infringe el código deontológico médico, sino que además es delito” un lector, vía comentario, formuló la siguiente pregunta:

En este contexto ¿creéis que el derecho de acceso debe incluir el listado de personas que han accedido a la hª clínica y la finalidad de dicho acceso (acceso completo al registro de accesos)? ¿No os parece fundamental para el control de la persona de su información personal?

Vamos a dar respuesta a esta cuestión a través de los informes jurídicos y resoluciones de la Agencia Española de Protección de Datos y de las sentencias de la Audiencia Nacional dictadas al respecto.

El derecho de acceso la historia clínica se recoge en el artículo 18 de Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Dicho precepto tiene el siguiente contenido: (más…)