¿Ha sido positivo el RGPD para los despachos de abogados?
LA CARA
Xavier Ribas
Socio de Ribas y Asociados
Director del Curso Experto de DPO de Thomson Reuters
Los despachos de abogados pueden llegar a asumir tres papeles en relación con la protección de los datos personales: son responsables del tratamiento, pueden tratar datos personales por cuenta de sus clientes y, frecuentemente, prestan servicios de asesoramiento jurídico en materia de protección de datos. Directa o indirectamente. Los despachos de abogados no se diferencian de otras organizaciones en su papel como responsables del tratamiento. Tratan los datos de sus trabajadores, de sus clientes, de sus proveedores, de otros abogados y profesionales, y de cualquier otra persona física que mantenga algún tipo de relación con el despacho y sus profesionales.
Como en todos los sectores, el nivel de adaptación y de cumplimiento de la nueva normativa no es el mismo en las grandes organizaciones que en las pequeñas. Podríamos afirmar que, aunque ello ha supuesto un esfuerzo para el colectivo, el RGPD ha sido positivo para los despachos medianos y pequeños, ya que, el impulso generado en toda Europa en materia de protección de datos, ha contribuido a incrementar el nivel de cumplimiento, y a desterrar el famoso refrán relativo a lo que acostumbra a ocurrir en la casa del herrero.
Una de las áreas de mejora ha sido la ciberseguridad, asignatura pendiente en muchos despachos de abogados. La aplicación del RGPD forzosamente ha tenido que provocar un incremento del nivel de cultura y concienciación de los abogados en materia de seguridad. El interés de muchos abogados por realizar funciones de DPO los ha llevado a formarse e incluso a obtener la certificación de DPD de la AEPD, que incluye un extenso apartado dedicado a la ciberseguridad. El esfuerzo realizado en materia de formación y concienciación a los clientes también puede haber incrementado la sensibilidad del propio abogado
Otra asignatura pendiente de los despachos de abogados es el control de los proveedores. Es difícil encontrar un despacho que haya identificado claramente a todos los proveedores que tratan datos por su cuenta o que acceden de manera autorizada o potencial a los datos que están bajo su responsabilidad, y que ejerza un control suficiente sobre ellos. El RGPD supone una oportunidad para incrementar el nivel de concienciación de los despachos de abogados sobre las garantías que deben exigir a sus proveedores y colaboradores y sobre el control que deben establecer durante la relación con ellos.
Cuando el despacho de abogados actúa como encargado del tratamiento, especialmente si ha accedido a la prestación de este servicio a través de un concurso público o privado, el proceso de selección y homologación le habrá exigido ofrecer garantías suficientes de cumplimiento del RGPD. Esta exigencia, recogida en el artículo 28 del RGPD, también ha actuado como motor del cambio en los despachos que tenían asuntos pendientes en la materia. Muchos despachos habrán tenido que adaptar las medidas técnicas y organizativas aplicadas al tratamiento de los datos por cuenta de sus clientes y a incrementar la cobertura de su póliza de seguros, con la consiguiente mejora de su posición al competir con despachos más grandes en los concursos.
Finalmente, son evidentes las oportunidades que el RGPD ha generado y sigue generando para los despachos de abogados que prestan servicios de asesoramiento en materia de protección de datos.
LA CRUZ
Marc Rius
Director de Ribas y Asociados
Profesor del Curso Experto de DPO de Thomson Reuters
El RGPD, como toda novedad legislativa, conlleva nuevas oportunidades para muchas empresas, pero especialmente para los despachos de abogados, que, especializados o no en la materia, han incluido el asesoramiento en RGPD en su cartera de servicios.
Tal y como comenta Xavier en su artículo, muchos despachos han visto aparecer nuevas oportunidades de negocio, pero en muchas ocasiones los despachos se han visto sobrepasados por las expectativas. Por un lado, porque muchas empresas que no requerían asesoramiento en la anterior normativa por haber realizado adaptaciones anteriores han tenido que pasar un nuevo proceso de revisión y adaptación. Pero por otro, porque ha habido cierta infravaloración de las exigencias del nuevo Reglamento.
Esto, sumado a que muchas empresas no empezaron a trabajar hasta el último momento, incluido en el propio 2018 y a pesar de haber tenido dos años para adaptarse, ha hecho que los despachos hayan tenido que trabajar contrarreloj, sumando nuevos clientes y proyectos a medida que se acortaba el plazo hasta el 25 de mayo. Por tanto, sí, el RGPD ha sido positivo para la gran mayoría de despachos, especialmente a nivel comercial y de cuenta de resultados, pero probablemente los profesionales que prestaron los servicios extraen una conclusión distinta del periodo de adaptación al RGPD y los proyectos llevados a cabo.
Asimismo, decía, en ocasiones se ha infravalorado al propio RGPD, y la tardanza del regulador europeo y la propia Agencia Española de Protección de Datos no ayudaron a tener una idea clara sobre determinadas obligaciones pocos meses antes de su aplicación efectiva. Esto conllevó algunos errores, o más bien, conclusiones precipitadas, en la interpretación de algunas obligaciones, como por ejemplo sobre la necesidad de solicitar el consentimiento para el uso de la huella dactilar para el control de accesos a edificios y oficinas.
El RGPD ha introducido mucha más complicación a la protección de los datos personales en el seno de las empresas. Nuevas consideraciones sobre las bases legitimadoras del tratamiento, el tener que pensar más allá del consentimiento al que nos tenía acomodados la anterior LOPD del 99, los conceptos jurídicos indeterminados como el tratamiento de datos a gran escala, los perfiles con efectos jurídicos, o la desaparición de un catálogo definido de medidas de seguridad a aplicar han hecho que el RGPD sea una norma jurídicamente más compleja, y esto lo han sufrido empresas y, sobre todo, despachos, que en definitiva son los responsables de dar una respuesta clara donde muchas veces parece que ni el propio legislador la tiene.
Todo lo anterior ha supuesto un problema a la mayoría de los despachos de abogados, especializados o no, pero ha causado mayores estragos a aquellos que, amparados en la novedad de la normativa, y a las solicitudes de asesoramiento de sus clientes, se han lanzado a prestar asesoramiento sin dominar la materia en el momento en que quizá más importante era tener una experiencia previa.
En definitiva, no creo que pueda considerarse que el RGPD ha sido negativo para los despachos, pero sí que ha supuesto serias dificultades para prestar un adecuado asesoramiento. Y todo esto valorando únicamente la esfera externa del RGPD para dichos despachos, es decir, el servicio que prestan a sus clientes, sin entrar a valorar en las dificultades que entraña el cumplimiento de la normativa por parte de los propios despachos, que podría dar para otro artículo.