lawandtrends.com

LawAndTrends



Miguel Recio 

Si un despacho de abogados es responsable o encargado del tratamiento es una cuestión compleja que requiere un análisis minucioso, caso por caso. Es también una cuestión que se ha planteado ya en el pasado, pero que ahora surge de nuevo como consecuencia de la referencia que a la misma se hace por el Comité Europeo de Protección de Datos (CEPD) en las Directrices 7/2020 sobre los conceptos de responsable y encargado en el RGPD (traducción de Guidelines 07/2020 on the concepts of controller and processor in the GDPR), versión 1.0, adoptada el 2 de septiembre de 2020.

Es necesario tener en cuenta que hace una década el Grupo de Trabajo del artículo 29 publicó el Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento”, WP 169, adoptado el 16 de febrero de 2010. En este Dictamen, el Grupo de Trabajo incluyó el ejemplo del representante procesal (traducción en la versión española del término “barrister” que aparece en la versión original en inglés) y lo hizo para ilustrar que un factor relevante para considerar que se trata de un responsable del tratamiento es el relativo a sus conocimientos especializados, lo que determina que exista independencia.

El Grupo de Trabajo del artículo 29 explicaba también en sus Directrices que la “función tradicional y los conocimientos profesionales del proveedor de servicios desempeña un papel predominante, que puede traer consigo su condición de responsable del tratamiento”. Aplicado al ejemplo del representante procesal, el Grupo de Trabajo del artículo 29 expresaba que la atención, a efectos del tratamiento de datos personales, debe ponerse en “la representación ante los tribunales, actividad para la cual estas profesiones tradicionalmente cuentan con su propia base jurídica”, y no en el mandato del cliente”, que además “no está centrado en el tratamiento de datos”. Y la conclusión alcanzada por el Grupo de Trabajo era que “estos profesionales deben considerarse «responsables del tratamiento» independientes cuando tratan datos en el marco de la representación legal de sus clientes”.

En un sentido similar, en 2014 la Information Commissioner´s Office (ICO) del Reino Unido concluyó que los abogados pueden ser un buen ejemplo de proveedores de servicios profesionales que no se limitan a ser encargados del tratamiento, ya que determinan qué información obtener y tratar para hacer su trabajo. Es decir, en relación con el tratamiento de los datos el abogado toma decisiones que corresponden al responsable del tratamiento. Esta postura es la que quedó reflejada en el documento titulado Data controllers and data processors: what the difference is and what the governance implications are, versión 1.0, publicado el 6 de mayo de 2014.

Por su parte, el CEPD, en las Directrices ya indicadas, incluye el ejemplo relativo a que una empresa encomiende a un despacho de abogados que le represente en un litigio ante los tribunales. Si bien el tratamiento de datos personales deriva de la encomienda o mandato dado, esta no se refiere específicamente al tratamiento de datos personales. Esto implica que el despacho de abogados (a) no tenga instrucciones del cliente sobre el tratamiento de datos personales, (b) sí tenga un grado relevante de independencia sobre factores tales como decidir qué información usar y cómo usarla. Por tanto, el tratamiento de datos personales que el despacho de abogados lleva a cabo está vinculado con su rol o papel funcional, de manera que es un responsable del tratamiento.

Salvo en casos muy específicos, la respuesta a la cuestión sobre si un despacho de abogados es responsable o encargado del tratamiento cuando presta servicios jurídicos requiere de una evaluación de los diversos factores sobre el tratamiento de los datos. Y entre estos factores la clave estaría en identificar si el despacho de abogados es quien decide sobre el tratamiento de los datos personales para el desempeño de sus funciones o si sigue las instrucciones del cliente, de manera que no decide sobre el tratamiento de los datos, limitándose a actuar “por cuenta de” (traducción de “on behalf of”).

Casos como presentar una demanda ante los tribunales o una reclamación ante las autoridades competentes según la materia, defender los intereses del cliente interponiendo las acciones que resulten oportunas o emitir un informe jurídico en el que se incluyan datos personales serían situaciones en las que un despacho de abogados actúa como responsable del tratamiento. Por el contrario, una due diligence que requiera acceder al listado de empleados, la información necesaria para obtener un Número de Identificación de Extranjero (NIE) para la(s) persona(s) indicada(s) por el cliente o llevar a cabo una investigación de una denuncia recibida a través del canal de whistleblowing de una empresa, son supuestos en los que el despacho de abogados actúa como encargado del tratamiento.

Ser responsable o encargado del tratamiento tiene importantes consecuencias por lo que se refiere al cumplimiento de la normativa sobre protección de datos, siendo necesario por tanto que un despacho de abogados identifique en qué condición trata datos personales y, a su vez, si recurre a encargados del tratamiento que podrían ser otros abogados o asesores legales ajenos a dicho despacho.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad