Skip to main content
Prueba Lexiel gratisProbar ahora →
RGPD para despachos de abogados: registro de tratamientos, DPA y cumplimiento 2025
Compliance9 minEquipo Lexiel

RGPD para despachos de abogados: registro de tratamientos, DPA y cumplimiento 2025

Los despachos de abogados tratan datos especialmente sensibles. Analizamos las obligaciones específicas bajo el RGPD y la LOPDGDD: registro de actividades de tratamiento, bases jurídicas, EIPD, secreto profesional y uso de herramientas IA con datos de clientes.

RGPD despachos abogadosprotección datos clientesLOPDGDDsecreto profesional RGPDDPA herramientas IA

El despacho como responsable del tratamiento

Todo despacho de abogados es un responsable del tratamiento (art. 4.7 RGPD) que trata datos especialmente sensibles: datos de salud (arts. 9 RGPD) en asuntos de incapacidad o accidentes, datos penales (art. 10 RGPD) en procesos criminales, datos económicos y patrimoniales en divorcios o concursos, y estrategia procesal protegida por el secreto profesional.

Obligaciones principales

1. Registro de Actividades de Tratamiento (RAT): art. 30 RGPD

Debe incluir, por cada tratamiento:

  • Responsable del tratamiento y representante.
  • Finalidades, categorías de interesados y datos.
  • Destinatarios (procurador, peritos, Administraciones).
  • Plazos de conservación.
  • Medidas de seguridad.

Tratamientos típicos en un despacho: gestión de expedientes, facturación, comunicaciones cliente-abogado, gestión de empleados, videovigilancia, cookies del sitio web.

2. Base jurídica para cada tratamiento

  • Ejecución de contrato (6.1.b): gestión del expediente y facturación.

  • Cumplimiento de obligación legal (6.1.c): conservación de documentación por plazos legales.
  • Interés legítimo (6.1.f): comunicaciones de marketing a ex-clientes.
  • Consentimiento (6.1.a): newsletters y comunicaciones comerciales.

3. Evaluación de Impacto (EIPD): art. 35 RGPD

Obligatoria cuando el tratamiento pueda suponer alto riesgo: uso de IA para analizar datos de clientes, tratamiento a gran escala de datos de salud o penales, transferencias internacionales. La AEPD ofrece la herramienta FACILITA_RGPD para evaluación.

4. Secreto profesional y derechos de los interesados

El despacho puede denegar el acceso de un ex-cónyuge al expediente de divorcio al amparo del secreto profesional (art. 23 RGPD), con motivación documentada.

5. IA generativa y RGPD

El uso de herramientas IA con datos de clientes requiere:

  1. DPA (Encargo de Tratamiento, art. 28 RGPD) con el proveedor de IA.
  2. Servidores en la UE: datos no pueden transferirse a EE.UU. sin salvaguardas.
  3. Actualización del RAT: añadir tratamiento «asistencia jurídica mediante IA».
  4. Información al cliente: si se usa IA para analizar su expediente.

Lexiel: servidores en Madrid (UE), DPA estándar para todos los clientes, sin uso de datos de clientes para entrenar modelos.

Sanciones AEPD en despachos

  • PS/00127/2022: 5.000 € por no atender solicitud de acceso en plazo (1 mes, art. 12.3 RGPD).

  • PS/00062/2023: 15.000 € por envío de escrito judicial con datos de cliente a destinatario erróneo.

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.