¿Qué cláusulas de protección de datos conviene que incluyan los abogados en sus hojas de encargo?

 

El art. 13 del Código Deontológico de la Abogacía Española (SP/LEG/3041), tras aludir a la recíproca confianza como la base en la que debe fundarse la relación entre abogados y clientes, afirma que “dicha relación puede verse facilitada mediante la suscripción de la Hoja de Encargo”.

Aun cuando la suscripción de esas hojas de encargo no resulta preceptiva (evidentemente, también en este ámbito tendría plena validez un contrato verbal), lo cierto es que, si no todos, gran parte de los letrados las utilizamos en las relaciones profesionales con nuestros clientes. Esta hoja es un medio útil para reflejar, entre otras circunstancias, el trabajo profesional encomendado y los honorarios a percibir para evitar futuros “malentendidos” por parte del cliente.

Ahora bien, este post no tiene por objeto analizar las bondades de las hojas de encargo ni tampoco el contenido más adecuado (obligación de medios y no de resultado, actuación encomendada, provisión económica, forma de pago, consecuencias en costas en caso de desestimación…), sino centrarnos en la información que en materia de protección de datos debemos facilitar a nuestro cliente para el caso de que las “aprovechemos” para incorporar este contenido.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas:

 

Como abogados, seremos los responsables del tratamiento de los datos de nuestros clientes. El Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 -SP/LEG/19835-) impone al responsable la obligación de facilitar al interesado (nuestro cliente) una serie de información en el momento de recogida de sus datos personales. La misma viene especificada en el art. 13 de la norma comunitaria (directamente aplicable desde el pasado 25 de mayo de 2018) y, con arreglo a las previsiones del mismo, y a las peculiaridades de un contrato de prestación de servicios en el que se desarrollará la relación, podemos extraer las siguientes circunstancias, que deberán reflejarse en la cláusula o cláusulas que, en materia de protección de datos, insertemos en nuestras hojas de encargo (igualmente si se suscriben en un documento independiente). La información que se describe a continuación es aquella que considero mínima obligatoria y a la cual responde el modelo de Sepín de Hoja de Encargo (SP/FORM/7952):

– Identificación del responsable del tratamiento y sus datos de contacto:

Evidentemente, tratándose de una hoja encargo, bastará con indicar que el letrado (o bufete, en su caso) será el responsable del tratamiento de los datos y reflejar, si no se ha hecho con anterioridad, los datos de contacto.

– Los fines para los que se llevará a cabo el tratamiento:

En este caso, la finalidad resultará clara y consistirá en el asesoramiento y/o defensa de los intereses del cliente, ya sea ante Tribunales o fuera de ellos, que han sido encomendados al abogado. Es decir, la finalidad del tratamiento consistirá en dar cumplimiento al contrato de prestación de servicios profesionales.

– La base jurídica del tratamiento:

Mucho se habla de la necesidad de obtener el consentimiento expreso del interesado para tratar sus datos personales; ahora bien, dicho consentimiento es solo una de las bases que legitiman tratar datos de terceros, pero no la única, hay otras (por ejemplo, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, para proteger intereses vitales).

Para encontrar qué condiciones dan legitimidad a ese tratamiento que ahora nos ocupa debemos acudir al art. 6 del Reglamento europeo y podemos ver como el mismo enumera, entre ellas, la siguiente: “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

Así pues, el tratamiento de los datos del cliente, a efectos de gestionar la defensa de sus intereses en vía judicial o extrajudicial, será consustancial a la realización del encargo. En otras palabras, no necesitamos que nos consienta expresamente al tratamiento de aquellos.

Ahora bien, si tenemos intención de utilizar sus datos para otras finalidades que van más allá de cumplir con el encargo (por ejemplo, enviarle publicidad de nuestro Bufete), ya sí necesitaríamos otra base jurídica que legitimara el tratamiento y la obtención del consentimiento expreso para esos fines. Así pues, si tenemos intención de dar otros usos a esos datos, sería conveniente aprovechar la hoja de encargo para indicar a nuestro cliente cuáles serán utilizados y recabar su consentimiento expreso para cada uno de ellos.

Recordad en este punto que, según ordena el Reglamento UE (art. 7.2), si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos (en nuestro caso, en una hoja de encargo profesional), la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

– Los destinatarios:

El art. 13 del Reglamento UE también nos ordena informar a los interesados, en el momento de recogida de sus datos personales, sobre “los destinatarios o las categorías de destinatarios de los datos personales”. En nuestro caso, en principio, esos destinatarios serán todos los profesionales cuya intervención esté relacionada y pueda ser necesaria para la realización del encargo profesional atribuido: administraciones públicas, juzgados, tribunales, notarios, procuradores, peritos, letrados, etc.

– Plazo de conservación:

La nueva normativa europea hace especial énfasis en limitar los plazos de conservación de los datos personales, evitando que aquellos vayan más allá del tiempo necesario para los fines del tratamiento para los que se obtuvieron los datos.

En consonancia con ello, pesa sobre el responsable del tratamiento (el abogado o bufete) la carga de informar al cliente del plazo durante el que conservará sus datos o, al menos, los criterios utilizados para determinar este plazo.

En nuestro supuesto, reducir el plazo de conservación de esos datos a la finalización del proceso extrajudicial o judicial (en la última de sus instancias realizadas) objeto de encargo podría ser un error, pues, es más que probable, que esos datos pudieran ser necesarios en el futuro por cuestiones directamente relacionadas con la actuación profesional realizada; pensemos, por ejemplo, en reclamaciones entre abogado y cliente, como honorarios indebidos, reclamaciones de responsabilidad civil profesional o, por qué no, incoación de expedientes por las Administraciones públicas, siendo el ejemplo por antonomasia, un requerimiento de información por parte de la Agencia Tributaria.

Así pues, recomendaría incluir en la hoja de encargo que los datos, una vez finalizado el encargo, se conservarán durante un plazo prudencial de años para hacer frente al cumplimiento de posibles obligaciones legales o contractuales. Entiendo que, en este sentido, el plazo de cinco años desde la total terminación de la relación contractual sería un período prudencial y suficiente.

– Los derechos que le corresponden respecto al tratamiento de sus datos:

Por supuesto, deberemos informar a nuestro cliente de los derechos que le asisten en esta materia y que vienen claramente descritos en los arts. 15 y siguientes del Reglamento (UE) 2016/679: acceso, supresión, rectificación, limitación, posibilidad de reclamar ante la AEPD, a la portabilidad de los datos, etc.

Esta será la información básica que habremos de suministrar a nuestros clientes, tanto nuevos como antiguos (a estos últimos, sería buena opción la de aprovechar un nuevo encargo profesional).

Evidentemente, sobra decir, que no bastará con cumplir “formalmente” con nuestra obligación de información, sino que deberemos llevar a la práctica nuestras obligaciones como responsable, velando siempre por que las medidas de seguridad que empleemos sean adecuadas y suficientes para garantizar la confidencialidad de los datos y para hacer efectivos, cuando así lo requieran, los derechos de nuestros clientes.