¿Incide el nuevo Reglamento General de Protección de Datos en la legitimación del abogado para el tratamiento de datos de carácter personal especialmente protegidos de sus clientes?
El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.
De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.
Ahora bien, el tema deja de ser tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7.
De acuerdo con este precepto, aunque se le faciliten al abogado con ocasión de la celebración del arrendamiento de servicios ello no legitimaría su tratamiento, sino que
-a) Para recabar o tratar datos relativos a ideología, religión, creencias o afiliación sindical (art. 7.1) el abogado necesita recabar de su cliente consentimiento expreso y escrito.
-b) Para recabar o tratar datos relativos a origen racial, salud o vida sexual (art. 7.2) bien el afectado consiente expresamente o bien la recogida, tratamiento o cesión viene dispuesto en una Ley por razones de interés general.
Un abogado en su día, con buen criterio y algo de sentido común, se paró a pensar y dijo: “hombre, ya sé lo que dice el artículo 7, pero si es el propio cliente quien me proporciona esa información y la relación jurídica que se establece con aquel es la misma que si no necesitara esos datos, arrendamiento de servicios… ¿no podría entenderse en estos casos suficiente con aplicar el 6.2.a) LOPD y 10.2.b) RDLOPD?
A esa pregunta respondió la Agencia Española de Protección de Datos ya en el año 2008, vía su informe jurídico 453/2008. En concreto, el abogado planteó esa cuestión para el tratamiento de datos de ideología y origen racial o étnico, es decir: una de las categorías de datos incluidas en el apartado 1º del artículo 7 y otra incluida en su apartado 2º.
En relación con el dato revelador de ideología y, por extensión en buena lógica, resto de categorías del 7.1 la Agencia afirma lo siguiente:
la Ley habilita el tratamiento sin previo consentimiento de los datos relacionados con la ideología política de los afectados únicamente en caso de que el mismo sea directamente efectuado por el Partido Político en cuestión, lo que en la interpretación más extensiva podría incluir a sus órganos de gobierno y representación. Sin embargo, dicha habilitación no comprendería en ningún caso a los tratamientos que pudieran efectuarse en otros supuestos.
Así, es claro que en el supuesto planteado no podría operar la excepción a la que se refiere el artículo 7.2, toda vez que el mismo, en su inciso final establece tajantemente que en todo caso “el tratamiento de dichos datos precisará siempre el previo consentimiento del afectado” que, como se indica en la Ley habrá de ser “expreso y por escrito”, dada la especial naturaleza de
los datos a los que se está haciendo referencia.
Por este motivo, el tratamiento de los datos a que se refiere la consulta no tendría cobertura en las previsiones de la Ley Orgánica 15/1999, dado que dicho tratamiento, al encontrarse sometido al régimen especial previsto para los datos de ideología por el artículo 7.2 debería contar con el consentimiento previo, expreso y por escrito del afectado.
En cuanto al dato de origen racial y resto de categorías del artículo 7.3, la Agencia entiende que puede dar cobertura a su tratamiento el artículo 24 de la Constitución Española, que consagra el derecho fundamental a la tutela judicial efectiva en una de sus manifestaciones, el derecho a la defensa procesal:
Respecto de los datos de origen racial del artículo 7.3 sí se contempla que puedan ser tratados, cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, por lo que la cobertura legal a dicho tratamiento se encontraría también en el artículo 24 de la CE que consagra el derecho fundamental a la tutela judicial efectiva en una de sus manifestaciones, como es el derecho a la defensa procesal y a la asistencia jurídica gratuita en su artículo 119.
Apliquen lo anterior a estos tres supuestos en los que se contratan los servicios de, por ejemplo, mi despacho profesional:
Don José me contrata como abogado para interponer una demanda contra don Mariano y contra la compañía de seguros X para reclamar los daños materiales sufridos por su vehículo en un accidente de tráfico del que es responsable don Mariano, sin que haya que lamentar daños personales. El tratamiento de datos viene legitimado por llevarse a cabo con ocasión de la relación contractual.
Don Luís me contrata como abogado para interponer una demanda contra don Ciriaco y contra la compañía de seguros X para reclamar los daños materiales sufridos por su vehículo en un accidente de tráfico del que es responsable don Ciriaco, así como la indemnización correspondiente por las lesiones físicas sufridas en ese accidente por don Luís. Estaría tratando datos de salud, por lo que para éstos en concreto, debería o bien obtener el consentimiento expreso de don Luís o entender, por mi cuenta y riesgo, que el tratamiento de esos datos de salud estaría amparados por el artículo 24 CE.
Don Jacob me contrata como abogado para interponer una demanda contra don Ernesto y contra la compañía de seguros X para reclamar los daños materiales sufridos por su vehículo en un accidente de tráfico del que es responsable don Ernesto, así como la indemnización correspondiente por las lesiones físicas sufridas en ese accidente por su hijo Josué y, además, para que impida que el Hospital Y le practique a Josué una transfusión de sangre porque él y su familia son testigos de Jehová. Estaría tratando datos de creencias, por lo que para ello debería obtener consentimiento expreso y escrito del interesado.
Es decir, que con la normativa española actual tres supuestos idénticos de contratación —arrendamiento de los servicios profesionales de abogado para la defensa de los intereses del cliente en relación con tres accidentes de circulación— nos llegamos a encontrar con hasta tres legitimaciones distintas para el tratamiento de unos datos que facilita quien nos contrata para redactar y presentar una demanda…. ¿Y qué quieren que les diga? Yo creo que con decir eso tan manido de que la realidad supera a la ficción y, de paso, aludir al nombre de este blog (Privacidad LÓGICA) no hace falta nada más.
Lo triste es que si vía LOPD se hubiera realizado correctamente la trasposición al derecho español de la Directiva 95/46/CE (ahora derogada por el RGPD, si bien con fecha de efecto 25 de mayo de 2018) entiendo yo que la Agencia Española de Protección de Datos no habría emitido el informe comentado, porque la Directiva en su artículo 8, referido al tratamiento de categorías especiales de datos (nuestros datos especialmente protegidos), si bien en su apartado primero se establece que
los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.
En el apartado segundo de forma tajante establecía que esa prohibición NO SE APLICARÍA CUANDO
- e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos O SEA NECESARIO PARA EL RECONOCIMIENTO, EJERCICIO O DEFENSA DE UN DERECHO EN UN PROCEDIMIENTO JUDICIAL.
Pero ya saben ustedes que la LOPD no incluyó en su articulado esa causa legitimadora del tratamiento de datos especialmente protegidos cuando se traspuso la Directiva ¿Y por qué? Pues vayan ustedes a saber… a lo mejor por eso tan español de ser más papistas que el Papa. Quizás, si nuestros legisladores se hubieran dignado a incluir en la LOPD, que desarrolla un derecho fundamental que afecta profunda y transversalmente a toda actividad, pública y privada, una modesta exposición de motivos… pues a lo mejor lo habríamos entendido. Pero como no tiene, habrá que aguantarse.
Afortunadamente, esta situación, a mi modo de ver absurda, queda corregida con la aprobación, entrada en vigor y aplicabilidad a partir del 25 de mayo de 2018 del Reglamento General de Protección de Datos.
¿Y en qué me baso? En su considerando 52 y en su artículo 9.2.f).
Así, de acuerdo con el considerando 52,
Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.
Lo anterior se concreta en el artículo 9. del RGPD de la siguiente manera:
Artículo 9 Tratamiento de categorías especiales de datos personales
1.Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
2.El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
- F) EL TRATAMIENTO ES NECESARIO PARA LA FORMULACIÓN, EL EJERCICIO O LA DEFENSA DE RECLAMACIONES O CUANDO LOS TRIBUNALES ACTÚEN EN EJERCICIO DE SU FUNCIÓN JUDICIAL.
De esta forma, el RGPD va más allá de la Directiva, por cuanto ésta solo contemplaba el tratamiento en el marco de un procedimiento judicial para el reconocimiento de un derecho, mientras que el RGDP habla de reclamaciones (formulación, defensa o ejercicio) a través de procedimientos administrativos, extrajudiciales o judiciales, lo que en el práctica lo cubre más o menos todos.
¿Y no volverá a pasar lo mismo que con la Directiva, que el Estado español hará caso omiso? En mi opinión no, porque conforme establece el artículo 99 del RGPD, éste será OBLIGATORIO en todos sus elementos y DIRECTAMENTE APLICABLE en cada Estado miembro.
Por tanto, respondiendo a la pregunta que sirve de título a este artículo: Sí, el nuevo RGPD incide, y mucho, en la legitimación del abogado para el tratamiento de los datos especialmente protegidos de sus clientes.
Ahora solo hace falta que la Agencia Española de Protección de Datos, al igual que estudiaba la posibilidad de adelantar otros ciertos efectos del Reglamento General sin necesidad de esperar al 25 de mayo de 2015, haga lo propio con este asunto, de especial relevancia, creo yo, para la abogacía. Me parece un tema muy adecuado para tratar en la Comisión de Trabajo que acertadamente ha creado la Agencia con las asociaciones profesionales relacionadas con la privacidad, así como directamente con el Consejo General de la Abogacía Española.
Hasta aquí llego, con el ruego de que me disculpen si llegan a la conclusión de que lo expuesto es una tontería.
Alfonso Pacheco
www.alfonsopachecoabogado.es
Enrique Gutiérrez
28 de mayo de 2016 @ 13:45
Completamente de acuerdo, pero entiendo y siempre he aconsejado que cuando se celebre un contrato, entre profesionales y clientes finales, se anexe al mismo, una autorización expresa del consentimiento de los datos que cede en el presente y futuro este cliente. obvimente firmada por el cliente.
Imaginen que se acepta un trabajo vía indemnización, por ejemplo y el cliente no obtiene el resultado previsto ¿No se han planteado que podemos tener un enemigo que nos busque las cosquillas vía legislación de protección de datos? ¿Qué necesidades tenemos de generarnos este posible problema?
Alfonso Pacheco
1 de junio de 2016 @ 21:37
Hola Enrique.
Lo que expones, que lo hacemos todos, pone de manifiesto uno de los problemas que se ha generado con la normativa en materia de protección de datos: vista la posibilidad de rejón económico, a cubrirse las espaldas, lo que no hace sino distorsionar lo que debería ser la correcta aplicación e interpretación de la norma, algo que no pasa en la mayoría de los sectores normativos, en detrimento de la seguridad jurídica.
Gracias por leernos y por dejar tu comentario.
Alfonso