Skip to main content
Prueba Lexiel gratisProbar ahora →
RGPD en despachos de abogados: obligaciones, registro de tratamientos y sanciones 2026
Compliance8 minEquipo Lexiel

RGPD en despachos de abogados: obligaciones, registro de tratamientos y sanciones 2026

Los despachos de abogados tratan datos especialmente sensibles: honorarios, conflictos judiciales, secreto profesional. Analizamos las obligaciones RGPD específicas: registro de actividades de tratamiento, base jurídica, plazos de conservación y régimen sancionador AEPD.

RGPD despachosRegistro actividades tratamientoLOPDGDDAEPD sancionesSecreto profesional

Por qué el RGPD es especialmente exigente para los despachos

Los despachos de abogados son responsables del tratamiento de datos de clientes, trabajadores y terceros (Art. 4.7 RGPD). Tratan con frecuencia datos de categorías especiales: datos de salud en expedientes de accidente, datos relativos a condenas penales (Art. 10 RGPD), datos patrimoniales y datos sobre vida privada.

La Ley Orgánica 3/2018 (LOPDGDD), en su disposición adicional 17ª, reconoce el deber de secreto profesional del abogado como un límite al ejercicio de los derechos del interesado (acceso, portabilidad), pero esto no exime del cumplimiento del resto de obligaciones RGPD.

Registro de actividades de tratamiento (Art. 30 RGPD)

Todo despacho con más de 250 trabajadores está obligado a mantener un registro escrito (en papel o electrónico) de sus actividades de tratamiento. Aunque no supere ese umbral, el registro es obligatorio si los tratamientos implican riesgo para los derechos y libertades: lo que casi siempre ocurre en un despacho.

El registro debe contener por cada tratamiento:

  • Nombre y datos de contacto del responsable y del DPO (si existe).
  • Finalidad del tratamiento.
  • Categorías de interesados y de datos.
  • Categorías de destinatarios (incluso países terceros).
  • Plazos previstos de supresión.
  • Descripción general de las medidas técnicas y organizativas de seguridad.

Tratamientos típicos en un despacho

TratamientoBase jurídicaPlazo conservación
Gestión de expedientes de clientesArt. 6.1.b (contrato)5 años post-fin relación (Art. 1964 CC)
FacturaciónArt. 6.1.c (obligación legal)5 años (Art. 30 Ccom)
Recursos humanosArt. 6.1.b + Art. 6.1.c5 años post-baja
Marketing (newsletter)Art. 6.1.a (consentimiento)Hasta revocación
CCTVArt. 6.1.f (interés legítimo)30 días (Art. 22 LOPDGDD)

Deber de información (Arts. 13-14 RGPD)

Al inicio de la relación con el cliente, el despacho debe informar en la hoja de encargo o en un documento específico de:

  • Identidad y contacto del responsable y del DPO (si aplica).
  • Finalidades y base jurídica del tratamiento.
  • Destinatarios (procuradores, peritos, juicio).
  • Derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad).
  • Derecho a reclamar ante la AEPD.

Delegado de Protección de Datos (DPD/DPO)

El nombramiento de DPO no es obligatorio para la mayoría de despachos (sí lo es para los que traten a gran escala datos de categorías especiales o datos penales; Art. 37.1.b-c RGPD). Sin embargo, la AEPD recomienda su designación voluntaria dado el perfil de datos tratados.

Sanciones AEPD 2024-2025

La AEPD ha sancionado a despachos y profesionales jurídicos en los últimos años por:

  • Acceso indebido a datos de expedientes de clientes de otros profesionales.
  • Envío de escritos sin anonimizar a personas no partes en el procedimiento.
  • Ausencia de registro de actividades de tratamiento en inspecciones de oficio.

Las multas pueden alcanzar 20.000.000 € o el 4% del volumen de negocio mundial (Art. 83.5 RGPD).

Checklist RGPD para despachos

  • [ ] Registro de actividades de tratamiento actualizado.

  • [ ] Cláusula informativa en hoja de encargo.
  • [ ] Contratos de encargo de tratamiento con peritos, traductores y proveedores cloud.
  • [ ] Política de contraseñas y cifrado de expedientes digitales.
  • [ ] Procedimiento de notificación de brechas (72 horas a AEPD; Art. 33 RGPD).
  • [ ] Evaluación de impacto (DPIA) si se usan herramientas de IA para valorar asuntos.
  • [ ] Formación anual del equipo en protección de datos.

Consulta el RGPD con Lexiel →

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.