Skip to main content
Prueba Lexiel gratisProbar ahora →
25 minAdrián

El abogado como responsable del tratamiento

Cuándo el despacho es responsable vs encargado, bases jurídicas del tratamiento, registro de actividades, información al interesado y relación con encargados.

¿Responsable o encargado? La distinción clave

Todo despacho de abogados trata datos personales de sus clientes, pero la calificación jurídica de ese tratamiento depende del contexto. En la mayoría de los casos, el despacho actúa como responsable del tratamiento (art. 4.7 RGPD), porque determina los fines y los medios del tratamiento: decide qué datos recoger, cómo conservarlos y para qué utilizarlos.

Sin embargo, hay situaciones en las que el despacho puede ser encargado del tratamiento (art. 4.8 RGPD). Por ejemplo, cuando una empresa externaliza la gestión de reclamaciones de protección de datos y el despacho trata los datos siguiendo las instrucciones del cliente, sin decidir sobre los fines. La diferencia es fundamental: el responsable asume la carga principal del cumplimiento, mientras que el encargado actúa siempre bajo instrucciones documentadas.

Bases jurídicas del tratamiento (art. 6 RGPD)

Para tratar datos personales de forma lícita, necesitas apoyarte en al menos una de las seis bases del artículo 6:

  1. Consentimiento (art. 6.1.a): Libre, específico, informado e inequívoco. En el ámbito del despacho, rara vez es la base más adecuada para el tratamiento principal, porque existe un desequilibrio inherente en la relación abogado-cliente.
  2. Ejecución de un contrato (art. 6.1.b): La base habitual para el tratamiento de datos del cliente en el marco de la hoja de encargo o contrato de prestación de servicios jurídicos.
  3. Obligación legal (art. 6.1.c): Aplica, por ejemplo, para la conservación de documentación exigida por la Ley de Prevención del Blanqueo de Capitales (identificación del cliente, conservación durante 10 años).
  4. Intereses vitales (art. 6.1.d): Excepcional en el ejercicio de la abogacía.
  5. Interés público (art. 6.1.e): Relevante para el turno de oficio o la asistencia jurídica gratuita.
  6. Interés legítimo (art. 6.1.f): Puede fundamentar el envío de comunicaciones comerciales a clientes existentes o la gestión de conflictos de intereses, siempre tras una ponderación documentada.

Registro de actividades de tratamiento (art. 30 RGPD)

Todo despacho con 250 o más empleados, o que trate categorías especiales de datos de forma no ocasional, está obligado a mantener un registro de actividades de tratamiento. En la práctica, la AEPD recomienda que todos los despachos lo mantengan, independientemente del tamaño.

El registro debe incluir, como mínimo:

  • Nombre y datos de contacto del responsable (y del DPO, si lo hay).
  • Fines del tratamiento.
  • Categorías de interesados y de datos personales.
  • Categorías de destinatarios.
  • Transferencias internacionales previstas.
  • Plazos de conservación.
  • Descripción general de las medidas de seguridad.

Consejo práctico: Organiza el registro por áreas de actividad del despacho (clientes persona física, clientes persona jurídica, empleados, proveedores, marketing, videovigilancia si procede).

Información al interesado (arts. 13-14 RGPD)

En el primer contacto con un cliente potencial debes facilitar, de forma concisa y en lenguaje claro:

  • Identidad del responsable.
  • Fines del tratamiento y base jurídica.
  • Destinatarios o categorías de destinatarios.
  • Plazo de conservación (o criterios para determinarlo).
  • Derechos del interesado (acceso, rectificación, supresión, portabilidad, limitación, oposición).
  • Derecho a presentar reclamación ante la AEPD.

La forma más habitual es incluir esta información en la hoja de encargo y, adicionalmente, publicar una política de privacidad en la web del despacho. Si recibes datos de terceros (no del propio interesado), aplica el art. 14 y debes informar en un plazo razonable (máximo un mes).

Relación con encargados del tratamiento (art. 28 RGPD)

Cuando el despacho contrata servicios que implican acceso a datos personales de sus clientes (alojamiento en la nube, software de gestión, servicios de digitalización, asesoría contable), debe formalizar un contrato de encargado del tratamiento que incluya:

  • Objeto y duración del tratamiento.
  • Naturaleza y finalidad.
  • Tipo de datos y categorías de interesados.
  • Obligaciones del encargado (confidencialidad, medidas de seguridad, notificación de brechas, colaboración con el responsable, devolución o destrucción de datos al finalizar).
  • Prohibición de subcontratación sin autorización previa y por escrito.

No basta con una cláusula genérica: el contrato debe ser lo suficientemente detallado para demostrar cumplimiento ante una inspección de la AEPD.

Vídeo próximamente

Por ahora puedes leer el contenido escrito más abajo

Evaluación del módulo

1

Un despacho de abogados recibe datos de clientes para llevar sus casos judiciales. ¿Qué calificación tiene el despacho respecto a esos datos?

2

Un despacho quiere enviar una newsletter jurídica a clientes actuales. ¿Cuál es la base jurídica más adecuada?

3

Un despacho unipersonal sin empleados, que trata datos de salud de sus clientes de forma habitual, ¿debe llevar registro de actividades de tratamiento?

4

Un cliente te pide acceder a todos los datos personales que el despacho tiene sobre él. ¿Cuál es el plazo máximo para responder?

5

El despacho contrata un servicio de almacenamiento en la nube para guardar expedientes de clientes. ¿Qué documento es imprescindible formalizar?

¿Tienes dudas legales propias?

El Plan Particular te da 50 consultas al mes con respuestas verificadas del BOE y la jurisprudencia.

Probar 14 días gratis
Ver todos los módulosSiguiente
El abogado como responsable del tratamiento | Academia Lexiel