El abogado ante el deber de información al cliente según el nuevo Reglamento General de Protección de Datos
Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.
Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).
La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:
De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.
En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.
A tenor de lo anterior, en aras a la correcta formación de la voluntad del interesado, la norma exige que la información sea expresa, precisa e inequívoca. No se cumple con el deber de información utilizando frases estándar o genéricas tipo “sus datos serán tratados respetando su privacidad y conforme dispone la Ley 15/1999, de protección de datos de carácter personal”. La información debe hacer referencia a todos los extremos exigidos por la norma, de forma detallada y siempre en relación con el caso concreto que justifica la petición de la información.
El deber de información en nuestra normativa interna se regula en la LOPD en su artículo 5, que reza así en sus apartados 1 a 3, que son los que nos interesan para este artículo:
- Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
- Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
- No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
A lo anterior habría que sumar lo que dispone el artículo 7 LOPD en su apartado 1º:
- De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
En el nuevo Reglamento General de Protección de Datos la información que, en nuestro caso, debe el abogado facilitar a su cliente se regula en el artículo 13, del siguiente tenor literal:
Información que deberá facilitarse cuando los datos personales se obtengan del interesado.
1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
- a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
- b) los datos de contacto del delegado de protección de datos, en su caso;
- c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
- d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
- e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
- f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2.Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
- a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
- b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
- c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
- d) el derecho a presentar una reclamación ante una autoridad de control;
- e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
- f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Como ven, la nueva regulación es más prolija, añadiendo nuevos contenidos a los que ya conocíamos sobre los que el abogado deberá informar a sus clientes. Veamos lo que tendrá que tener en cuenta el profesional para dar debida satisfacción a este derecho de los interesados, si bien dejando claro de antemano lo siguiente:
Lo que reflejo a continuación no dejan de ser, como abogado en ejercicio que soy, las preguntas que me formulo y las respuestas que me doy a mi mismo a la hora de analizar cómo voy a tener que cumplir con este deber informativo a partir ahora.
No pretendo pontificar sobre el tema, sino simplemente poner en común las cuestiones que se me han ido planteando y cómo las voy solucionando a pesar de que, como en tantos otros temas, la lectura del RGPD genera un sinfín de dudas sobre cómo se aplicará, que parte de la legislación española se va a la porra y que otra se mantendrá y en qué términos.
Por tanto, se agradecerá cualquier comentario u opinión que los sufridos lectores de este blog consideren oportuno expresar. Cada día soy más consciente de mis muchas lagunas jurídicas y de las muchas virtudes y conocimientos de los demás, así que cualquier luz que puedan todos ustedes aportar sobre las cuestiones que aquí se plantean no solo serán bienvenidas por este autor, sino por todos los lectores, porque me parece que andamos todos igual de perdidos con este dichoso Reglamento. Y el que lo niegue… o no se lo ha leído o dice mentirijillas J
Sentado lo anterior, metámonos a por uvas.
1.- ¿A partir de cuándo debo ofrecer todo este nuevo contenido informativo?
El artículo 99 RGPD establece que el Reglamento será aplicable a partir del 25 de mayo de 2018. Por tanto, antes de dicha fecha bastaría ofrece el contenido informativo previsto en el LOPD.
Dicho eso, mi recomendación es que no lo deje todo para el último minuto y vaya pensando cómo incorporar ya a sus protocolos aquellas exigencias del RGPD que estén más o menos claras. Modifique sus cláusulas informativas para adaptarlas a los nuevos contenidos, siempre que pueda hacerlo sin infringir la normativa vigente hasta el 25 de mayo de 2018, y una cosa menos de la que preocuparse, que quedan muchas hasta que se sepa a ciencia cierta hasta dónde alcanza el vuelco en la normativa patria que supone es RGPD.
2.- La identidad y los datos de contacto del responsable y, en su caso, de su representante.
Esta información no es nueva, a viene exigida en la normativa española en vigor, si bien nuestro artículo 5 desarrolla en el mismo precepto el tema del responsable, mientras que el RGPD lo trata en el artículo 27 en relación con el 3.2 de la misma norma.
3.- Los datos de contacto del delegado de protección de datos.
Esta figura, la del conocido como DPO (siglas de su denominación en inglés Data Protection Officer), no está contemplada en nuestra legislación patria en materia de protección de datos, sino que es introducida en el RGPD en sus artículos 37 a 39.
Básicamente, el DPO es un especialista en protección de datos, interno o externo, con el que determinadas organizaciones deben contar y que debe intervenir con independencia en todas las cuestiones relacionadas con la protección de datos que se den en esas organizaciones. Sus funciones están definidas en el artículo 39, a cuya lectura remito, dado que no es el objeto de este artículo.
La cuestión es que si el despacho de abogados designa un DPO, debe ofrecer en la información al interesado sus datos de contacto.
Y la pregunta es: ¿tiene el abogado que nombrar un DPO? El artículo 37 RGPD obliga a su nombramiento en tres supuestos:
El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
- a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Descartados los dos primeros supuestos, no me parece que encaje nuestra actividad, el ejercicio de la abogacía dentro de ese “tratamiento a gran escala”, del tercer supuesto, pendiente de definición lo que se considerará “gran escala”. Por tanto, y esta es una opinión personal, el nombramiento de un DPO en un despacho de abogados en términos generales será algo voluntario o conveniente, en función de la estructura de nuestro gabinete, pero no obligatorio.
Eso sí, si se nombra, hay que recordar que los datos de contacto del DPO se deben incluir en la información que se facilite al interesado.
4.- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
La información sobre las finalidades del tratamiento ya viene contemplada en la LOPD, y podríamos definirlas, por ejemplo, como las siguientes:
La defensa letrada del cliente en los asuntos judiciales y extrajudiciales que le encomienden sus clientes, así como el desarrollo de dicha actividad; documentación de los expedientes; facturación, cobro, gestión económica y contabilización de los servicios contratados; conservación de los expedientes durante su tramitación y a efectos de responsabilidad profesional; comunicación con el cliente, contrapartes y asesores.
¿Y la base jurídica del tratamiento? ¿Qué quiere decir el RGPD con “base jurídica” Entiendo que debemos acudir a sus considerandos 40 y 41:
Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.
Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia») y del Tribunal Europeo de Derechos Humanos.
A tenor de lo anterior, entiendo que la base jurídica del tratamiento de datos personales de sus clientes por parte de abogado sería la relación contractual de arrendamiento de servicios que se establece con el cliente, que legitima el tratamiento sin necesidad de contar con su consentimiento, inclusive para el tratamiento de los datos especialmente sensibles, como vimos en la entrada dedicada a la legitimación del abogado para el tratamiento de los datos de sus clientes. El respaldo legal de esa legitimación sería lo dispuesto en el artículo 6.2 de la LOPD, y 6.1.b) y 9.2.f) del RGPD.
5.- Los destinatarios o las categorías de destinatarios de los datos personales.
Esta obligación ya está prevista en el artículo 5 LOPD, por lo que el abogado ya debería estar ofreciendo esta información a sus clientes. En cualquier caso, las categorías de destinatarios más habituales de estas cesiones podrían ser las siguientes: juzgados y tribunales, notarías, registros públicos, letrado de la contraparte, bancos o cajas de ahorro, Administraciones públicas, Cuerpos y Fuerzas de Seguridad …
6.- Información sobre transferencias internacionales de datos.
El artículo 13 establece que deberá informarse de la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
El RGPD no incluye qué debe entenderse por “transferencia internacional de datos” entre las definiciones de su artículo 4.
En su considerando 101, el primero dedicado a las transferencias internacionales, habla de Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales.
Por tanto, si la transferencia tiene lugar hacia un país perteneciente a la Unión considero que no habrá que informar de nada. Pero detecto un problema:
Si ponemos el contenido del RGPD trascrito con la definición de transferencia internacional de la letra s) del artículo 5 de nuestro RDLOPD podemos observar una diferencia. Así, mientras que el RGPD habla de países no pertenecientes a la Unión, nuestra normativa interna habla de: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo…, que abarca los miembros de la Unión Europea más Islandia, Noruega y Liechtenstein, en virtud del Acuerdo de 1994 de Espacio Económico Europeo.
¿Habrá que, entonces, informar de las transferencias que tengan como destino esos tres países? Yo entiendo que no, el artículo 13 habla de la existencia o ausencia de una decisión de adecuación de la Comisión, y el Acuerdo de Espacio Económico Europeo no es precisamente eso, pero doctores tiene la Iglesia.
Para la mayoría de los abogados, en la práctica, este punto no supondrá un problema, porque no realizarán transferencias internacionales. Pero en el caso de realizar aquellas contempladas por el precepto deberán ofrecer la información allí indicada.
7.- Plazo de conservación de los datos personales o, cuando no sea posible, los criterios para determinar ese plazo.
¿Durante cuánto tiempo puede el abogado conservar la documentación obrante en los expediente derivados de la prestación de sus servicios profesionales?
Ya lo exponíamos en el post colaborativo publicado en este mismo blog titulado “LOPD y los plazos de conservación de la documentación”: CINCO AÑOS desde la finalización de la prestación de servicios.
Al ser las acciones que se pueden ejercitar para exigir responsabilidades profesionales al abogado de carácter personal y no tener señalado uno especial, el plazo de prescripción de las mismas es desde el 7 de octubre de 2015, de acuerdo con el Art. 1964.2 Código Civil, en redacción dada por la Ley 42/2015, de 5 de octubre, de reforma de la LEC, de cinco años, por lo que durante ese plazo como mínimo (salvo interrupción de su cómputo) deberán conservarse los expedientes finalizados.
Para aquellas acciones nacidas antes del 7 de octubre de 2015, tener MUY en cuenta la Disposición transitoria quinta de la Ley 42/2015, en relación con el artículo 1939 del Código CivilDT5ª: el tiempo de prescripción de las acciones personales que no tengan señalado término especial de prescripción, nacidas antes del 7 de octubre de 2015, se regirán por lo dispuesto en el artículo 1939 del Código Civil:
La prescripción comenzada antes de la publicación de este código se regirá por las leyes anteriores al mismo; pero si desde que fuere puesto en observancia transcurriese todo el tiempo en él exigido para la prescripción, surtirá ésta su efecto, aunque por dichas leyes anteriores se requiriese mayor lapso de tiempo.
No olvidemos que los datos de los clientes también los utiliza el abogado para facturar. Deberemos por tanto, tener en cuenta los plazos dispuestos en el artículo 30 del Código de Comercio(6 años) y artículos 66 a 70 de la Ley General Tributaria (4 años). Si quiere usted ampliar la información al respecto, le invito a leer el post al que he hecho referencia unos párrafos más arriba.
Y más importante que facturar es cobrar, por lo que, si el abogado se ve compelido a demandar a un cliente a fin de intentar cobrar sus honorarios, entiendo yo que, aún superados todos los demás plazos, se podrá conservar la documentación hasta que se cobren efectivamente los honorarios, y eso vía judicial puede ser pero que muy largo.
8.- Información sobre los conocidos hasta ahora como “derechos ARCO” más los nuevos derechos introducidos por el RGPD: limitación del tratamiento y portabilidad.
Entiendo que la información al respecto seguirá manteniendo la misma estructura que la que se ofrece actualmente, completada con la mención de los nuevos derechos, por lo que no me extenderé más al respecto, dado que el ejercicio de esos derechos no es el objeto de este artículo.
Eso sí, ¿es de aplicación la portabilidad al trabajo del abogado? No creo, sinceramente. El artículo 20 RGPD exige que el tratamiento esté basado en el consentimiento o en un contrato y que el tratamiento se efectúe por medios automatizados.
La base de legitimación del tratamiento de datos de un cliente por parte del abogado sí es el establecimiento de una relación contractual. Hasta ahora el tratamiento de datos especialmente sensibles sí necesita del consentimiento del interesado, pero como ya expliqué en mi anterior post a partir de la aplicación del nuevo RGPD ya no será ese asentimiento necesario, de acuerdo con lo dispuesto en el artículo 9.2.f).
Por otro lado, el tratamiento de datos por el abogado sí se realiza por medios automatizados, pero no exclusivamente, el tratamiento manual sigue y seguirá vigente por mucho tiempo.
9.- Sobre el derecho a retirar en cualquier momento el consentimiento cuando el tratamiento está basado en precisamente en él, sin que ello afecte a la licitud del tratamiento previo a su retirada.
Desde mi punto de vista, la legitimación del abogado para el tratamiento de los datos personales de sus clientes no deriva del consentimiento de éstos, sino de la legitimación del artículo 6.2 LOPD y 6.1.b) en relación con el 9.2.f) del RGPD.
Por tanto, el tratamiento de los datos de los clientes por el abogado para el desarrollo de los servicios contratados no tendría su base en el consentimiento, de forma que no sería de aplicación lo previsto en la letra c) del apartado 2 del artículo 13 RGPD.
Pero si el abogado quisiera utilizar parte de los datos del cliente para otros fines que no guarden relación directa con el mantenimiento, desarrollo o control de esa prestación de servicios, como podría ser el envío de newsletters periódicos, entonces sí debería incluir en la información que ofrezca al cliente esa advertencia, dado que ese tratamiento no estaría amparado por los preceptos antes citados, siendo su base de legitimación el consentimiento (artículo 15 RDLOPD).
¿Y ese otro uso no lo tiene el abogado previsto ab initio, sino que se le ocurre en un momento posterior? Pues entonces entraría en juego el apartado 3 del artículo 13 RGPD:
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
10.- si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
A mi entender, los datos personales que solicita un abogado para la defensa de los intereses del cliente son necesarios para el correcto desarrollo de esa defensa, pero el abogado no puede exigir que se le faciliten. El cliente los puede transmitir o no, pero hay que advertirle de que la omisión de la información dificultará el desarrollo de actuaciones contratadas por parte del abogado y redunda en perjuicio del propio cliente.
En relación con este punto, me interesa hacer un comentario específico sobre el artículo 7.1 de la LOPD. Dicho precepto es del siguiente tenor literal:
- De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
La norma obliga a informar al interesado sobre su derecho a no declarar sobre su ideología, religión o creencias y, por tanto, su derecho a no prestar su anuncia, cuando se recabe su consentimiento para el tratamiento de esos datos.
Sin embargo, como ya expuse en mi anterior entrada en este blog sobre la legitimación del abogado para el tratamiento de datos personales de sus clientes, el artículo 9.2.f) del RGPD, interpretado conforme el considerando 52, legitima al abogado para el tratamiento de toda categoría de datos sensibles (categorías especiales en el RGPD) sin necesidad de consentimiento cuando el tratamiento es necesario la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.
Por tanto, y siempre a partir de la aplicación del RGPD, ¿desaparecida la necesidad de recabar del interesado para tratar para los fines expuestos datos relativos a ideología, religión o creencias, desaparece la obligación de informar sobre el derecho a no facilitar esa información, que el artículo 7.1 liga a la obtención del consentimiento?
Supongo que la AEPD interpretará que el Reglamento impone la obligación de informar sobre el carácter obligatorio o no de facilitar los datos a todo supuesto, sin ligarlo a la obtención del consentimiento y que, por lo tanto, se deberá seguir manteniendo esa información pese a que en su día su tratamiento por el abogado no necesite de consentimiento previo. Pero esto no deja de ser una mera suposición, quedando a la espera del que en su momento sea el posicionamiento oficial de la AEPD sobre esta cuestión y sobre muchas otras que el RGPD deja en el aire.
11.- El derecho a presentar una reclamación ante una autoridad de control.
En la práctica esta exigencia informativa ofrezca ninguna complicación para el abogado. Entiendo que para su cumplimiento, y a salvo de lo que en su momento interprete la AEPD, bastaría con reproducir más o menos adaptado el artículo 77 del RGPD en el documento informativo que se ofrezca al cliente:
Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.
Ojo, que la autoridad de control ante la que se puede presentar la reclamación no se limita en nuestro caso a la AEPD, sino que el precepto se refiere a tres: autoridad de control del Estado miembro de la Unión Europea donde el perjudicado tenga su residencia habitual; la de su lugar de trabajo o la que corresponda al lugar donde se ha cometido la supuesta infracción. Por tanto, no cumpliríamos con esta obligación informando solo de la posibilidad de interponer la reclamación ante la AEPD. Debemos ofrecer la información sobre todo el abanico de posibilidades que el RGPD pone al alcance del interesado.
12.- Información sobre decisiones automatizadas del artículo 22 RGPD
Entiendo que los abogados no hacemos a nuestros clientes objeto de decisiones basadas exclusivamente en tratamientos automatizados, por lo que este apartado no formará parte de la información que facilitemos a nuestro cliente.
No obstante, me he preguntado si entraría dentro de ese ámbito de decisión automatizada sobre la persona estos nuevos servicios jurídicos online que te permiten mediante la cumplimentación de una serie de cuestionarios/formularios obtener, por ejemplo, un contrato de arrendamiento adaptado a tus necesidades por un precio bastante módico, o conseguir lo que en alguna página web de despacho de abogados se ha bautizado como “divorcio express”. ¿Está el tema en el border line? Ahí lo dejo apuntado, a ver si alguien se anima a opinar sobre el tema.
13.- Redacción y lenguaje en el que debe ofrecerse la información.
El objetivo principal de la información es que su destinatario entienda aquello que se le transmite para que tome conciencia de ello y decida en aquellos casos en los que lo tiene que hacer, si bien, recordémoslo, en el caso del abogado el tratamiento no viene legitimado por el consentimiento. En cualquier caso, se trata de que el cliente se entere de la película.
El artículo 5.1 LOPD exige que la información sea expresa, específica (ya lo dijimos al principio, no sirven cláusulas generalistas) e inequívoca.
El RGPD en su artículo 13, por mor del principio de transparencia concreta más y obliga a que la información se transmita en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Así que ya saben, a esmerarse con la redacción. Para saber si les ha quedado un texto claro y sencillo basta con que lo comparen con cualquier resolución judicial: si se le parece mucho…reescríbalo. En cuanto a la concisión, pues qué quieren que les diga: entre todo lo que hay que incluir y, además, de forma completa y que se entienda… me da a mi que se va a quedar en un desideratum.
14.- Forma en la que debe ofrecerse la información.
El artículo 5 LOPD no establece la vía a través de la que debe ofrecerse esa información, rigiendo la libertad de forma.
El RDLOPD dedicaba un artículo, el 18, a la acreditación del cumplimiento del deber de información, exigiendo que se llevara a cabo por un medio que permitiera acreditar su cumplimiento y que, además, debía conservarse el soporte mientras persistiera el tratamiento de datos del afectado, permitiéndose la conservación no en el soporte original, sino informática o telemática, con especial mención del escaneado.
Sin embargo, dicho precepto, tanto en su apartado primero como segundo, fue declarado nulo por el Tribunal Supremo, en Sentencia de fecha 15 de julio de 2010 de su Sala 3ª:
Ubicado en la Sección Segunda del Capítulo II, del Título II, cuya rúbrica es la de “Deber de información al interesado”, contrariamente a lo que sostiene el Abogado del Estado, no se limita dicho precepto [el 18] a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos. Y aunque no es posible inferir, como con error sostiene la recurrente, que la norma reduce el derecho a probar por cualquier medio de los admitidos en derecho, sí tiene razón cuando aduce que establece ex novo, al margen de la Ley, una obligación adicional. Es más, con la obligación impuesta en el precepto reglamentario puede originar que se aprecie con un cierto grado de desconfianza la conducta de quienes pudiendo preconstituir, sin grandes dificultades apreciables, un medio probatorio exigido por el Reglamento, hace caso omiso a la exigencia.
La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) Solo en el apartado 2 del artículo de mención prevé la posibilidad de que se utilicen cuestionarios u otros impresos para la recogida de datos para advertir, pensando sin duda en medios estandarizados, que se han de contener y de forma claramente legible las advertencias expresadas en el apartado 1.
En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma.
Pues bien, siendo ello así, cabe concluir que la disposición reglamentaria que examinamos contraviene la Ley y que por ello debe ser anulada.
El RGPD en su artículo 12 establece que la información debe facilitarse por escrito o por otros medios, inclusive, si procede, por medios electrónicos, si bien introduce una importante limitación a la libertad de forma, puesto que limita el ofrecimiento verbal de la información a aquellos supuestos en los que sea el interesado quien lo solicite así y pueda demostrarse su identidad por otros medios.
A efectos del supuesto que nos ocupa, el asunto no presenta, creo yo, problemas: lo normal es que el abogado facilite a su cliente la información por escrito, bien incorporando la misma a la hoja de encargo profesional o presupuesto de honorarios, bien en documento aparte, recogiendo en copia del mismo la firma del cliente a efectos de acreditar que se le ha ofrecido la información, porque, no lo olvidemos, la carga de la prueba del ofrecimiento de la información será del abogado. En este sentido, informe jurídico 29/2011 de la AEPD:
debe recordarse que, en todo caso, corresponde al responsable del fichero la prueba del cumplimiento del deber de información, si bien dicho cumplimiento podrá acreditarse por cualquier medio de prueba admisible en derecho, según lo señalado por el Tribunal Supremo en su sentencia de 15 de julio de 2010, que anula lo dispuesto en el artículo 18 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
En cambio, el abogado facilitará la información por medios electrónicos, cada vez más, en todos aquellos supuestos de contratación on line de sus servicios: formularios, contratos, consultas, contacto vía formularios web…
Por cierto, ahora que he mencionado la palabra “formulario”, decir que, en mi opinión, seguirá vigente la obligación de incorporar el contenido de la información eleopediana en dichos formularios cuando el abogado se sirva de los mismos para recabar los datos, de acuerdo con lo dispuesto en el artículo 5.2 LOPD.
En fin, ahí lo dejo. Gracias a los que han tenido la santa paciencia de llegar hasta aquí.
iñaki
13 de junio de 2016 @ 12:22
super interesante la reflexión, he llegado hasta abajo y os felicito.
Alfonso Pacheco
13 de junio de 2016 @ 12:26
Gracias Iñaki. Cuánto satisface recibir una felicitación de alguien de tu nivel. Un abrazote
Alfonso
Nuria
14 de junio de 2016 @ 08:29
Muy interesante. Respecto a las reflexiones del art. 22 RGPD de tu punto 12, las decisiones individuales automatizadas: creo que los supuestos a los que aludes podrían incluirse en su apdo. 2.c) por contar con el consentimiento explícito del interesado y por lo tanto quedarían fuera de la exclusión. ¿Cómo lo veis? Creo que se está pensando más en casos de automatización de decisiones como p.e. para concesiones de créditos en base a perfiles… Pero buscaré más. Mil gracias. Enhorabuena y abrazos.
Alfonso Pacheco
14 de junio de 2016 @ 12:53
Hola Nuria.
Gracias por tu comentario. Yo creo que los tiros van por donde indicas.
Un abrazo
Javier González
28 de septiembre de 2017 @ 19:53
Hola Alfonso, impresionante articulo.
Creo que actualmente todos estamos con muchas dudas con respecto al RGPD europeo. No estaría de más que entre todos intentáramos realizar ese documento que parece que nos va a llevar por la calle de en medio y asi poder ver que no nos quedamos nada atrás. Son muchas cosas las que cambian y después de leer y re leer el reglamento europeo aún sigo teniendo dudas. Bendito sera el DPO que certifique, pues muy amplia su estructura y no entra en profundidad en muchos temas.