Necesidad del DPO en los despachos de abogados

La pregunta que se quiere responder a través del presente escrito es, ¿deben los despachos de abogados contar con un Delegado de Protección de Datos? Para poder dar respuesta a dicha pregunta, debemos acudir a lo dispuesto tanto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

A este respecto el RGPD articula la necesidad de contar con un DPO en su artículo 37, haciendo lo propio la LOPD-GDD en su artículo 34. Revisados ambos, en ninguno de ellos se mencionad de manera expresa a los despachos de abogados, debiendo proceder por tanto a lo establecido, por remisión, a lo que dice el artículo 37.1 del RGPD, en el que se determina que esta figura será necesaria cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

En este sentido, los dos primeros supuestos no aplican a los despachos de abogados, dejándonos por tanto como única posibilidad la establecida en punto c) del artículo 37.1 del RGPD.

Teniendo en cuenta que, en virtud del artículo 9 del RGPD se consideran categorías especiales de datos los “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física” y siendo por otro lado evidente que los despachos de abogados van a tratar datos relativos a condenas e infracciones penales, es evidente que un despacho de abogados se encuentra incluido en este tipo de supuestos.
Ahora bien, el mencionado artículo 37.1.c) dice expresamente que el tratamiento de dichos datos deberá darse “a gran escala”, siendo necesario, por tanto, definir qué significa “tratamiento de datos a gran escala”.

El concepto “a gran escala” es un concepto jurídico indeterminado que no se define ni en el RGPD ni en la LOPDGDD. El considerando 91 del Reglamento señala que “las operaciones de tratamiento a gran escala […] persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo”.

El Comité Europeo de Protección de Datos en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, adoptadas el 4 de abril de 2017 y revisadas por última vez y adoptadas el 4 de octubre de 2017 (WP 248 rev.01), ha señalado:

“El RGPD no define qué se entiende por gran escala, aunque el considerando 91 ofrece alguna orientación. En cualquier caso, el GT29 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • El volumen de datos o la variedad de elementos de datos distintos que se procesan;
  • La duración, o permanencia, de la actividad de tratamiento de datos;
  • El alcance geográfico de la actividad de tratamiento”.

Los despachos de abogados, por tanto, deberán valorar si se encuentran o no en alguna de esas circunstancias. En este sentido debe resaltarse que el considerando 91 del RGPD afirma que “el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado”. Por su parte el Comité Europeo de Protección de datos, en las Directrices sobre los delegados de protección de datos (DPD), considera que como casos que no constituyen tratamiento a gran escala cabe señalar el tratamiento de datos de pacientes por parte de un solo médico y el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

La afirmación que lleva a cabo el RGPD y que asume el Comité no debe interpretarse al pie de la letra, sino más bien en el sentido de que se refiere no solo al caso del abogado individual, sino también a pequeños despachos de abogados. Las propias Directrices advierten que “es importante tener en cuenta que, aunque el considerando [91] proporciona ejemplos situados en los extremos de la escala (tratamiento de datos de un solo médico [o abogado] frente al tratamiento de datos en la totalidad de un país o en toda Europa), hay una amplia zona gris entre ambos extremos”.

En conclusión, a la vista de lo que establecen el RGPD y a LOPDGDD y lo que afirma el Comité Europeo de Protección de datos, los despachos de abogados deberán designar Delegado de Protección de Datos si se encuentran en alguno de los supuestos que recoge el artículo 37 del RGPD, en particular en caso de que traten a gran escala categorías especiales de datos personales y de datos relativos a condenas e infracciones penales, siempre teniendo en cuenta que un “tratamiento a gran escala” depende en gran medida de la percepción y de la interpretación que diferentes elementos como la ubicación geográfica relacionados con el volumen total de población pueden arrojar.
De esta manera, un abogado con 100 clientes en una gran ciudad como Madrid o Barcelona no es lo mismo que un abogado cuente con 100 clientes en una ciudad con una población de unos 5.000 habitantes como Alcalá del Valle en la provincia de Cádiz.

Si necesitas más información puedes ponerte en contacto con nosotros.

Sin comentarios

Publicar un comentario

Solicitar más información



He leído y acepto la Política de privacidad.

Consiento de manera previa y expresa que COMPLIANCE CORPORATE me envíe comunicaciones comerciales sobre sus servicios.