Se acerca el mayor cambio en cuestiones de privacidad de los últimos veinte años. Estamos inmersos en la entrada de un nuevo ciclo compuesto por 365 días. Quedan cuatro meses para la entrada en vigor del Reglamento General de Protección de Datos (RGPD), un tiempo que algunos despachos de abogados ya están aprovechando no solo para ponerse al día sino para adaptarse a lo que viene establecido en la normativa europea. El Análisis de Riesgos y la Evaluación de Impactos de los despachos permite que puedan afrontar la gestión eficaz de los riesgos y tomar las medidas necesarias para eliminarlos o mitigarlos.
El 25 de mayo de 2018 está, cada vez más, a las puertas de nuestro tiempo, y no parece esperar a nadie. A partir de entonces, todas las empresas que acumulen y soliciten datos personales de clientes, proveedores, empleados, pacientes y visitantes, tendrán la responsabilidad de garantizar que estarán seguros. Por ello, la Agencia Española de Protección de Datos (AEPD) ha preparado dos guías definitivas, con tal de cumplir con el Análisis de Riesgos y la Evolución de Impactos. Los despachos de abogados se desenvuelven en un ambiente protagonizado por información sensible, por lo que es necesario que conozcan las situaciones que establece la AEPD para llevar a cabo. Tú, eres uno de ellos.
El Análisis de Riesgos en los despachos de abogados
Analizar los riesgos implica hacer un estudio cualitativo de las causas, amenazas y daños o consecuencias que se pueden producir. Se trata de una especie de análisis DAFO que, aplicado a los despachos de abogados, permite determinar las características contenidas en el ejercicio de estas empresas para el derecho fundamental a la protección de datos de los afectados. El objetivo es que, tras este análisis, se puedan afrontar los riesgos, así como limitarlos o eliminarlos. Se trata de una herramienta de gestión de estudios de seguridad muy útil a la hora de identificar los riesgos. Para su aplicación, la Agencia Española de Protección de Datos (AEPD) ha establecido minuciosamente los pasos a través de la guía de Análisis de Riesgos.
La Evaluación de Impactos (EIPD) en los despachos de abogados
Una vez identificados los riesgos, el siguiente paso que debemos de llevar a cabo es evaluarlos. Para ello, las técnicas utilizadas suelen basarse en métodos cuantitativos. La Guía de Evaluación de Riesgos lleva implícita la acción de comparar el nivel de riesgo que ha sido detectado durante el proceso de análisis con criterios establecidos previamente. De esta forma, lo que la Agencia Española de Protección de Datos (AEPD) describe son las situaciones en las que sería aconsejable llevar a cabo una evaluación de impacto. Algunas de ellas, propias de la actividad desarrollada por los profesionales de la abogacía, son:
- “Cuando se enriquezca la información existente sobre las personas mediante la recogida de nuevas categorías de datos o se usen las existentes con nuevas finalidades o en formas que antes no se usaban”. Por ejemplo: un despacho de abogados que utilice los datos de un cliente para nuevos fines que hasta ahora no llevaba a la práctica.
- “Cuando se lleve a cabo un tratamiento significativo no incidental de datos de menores o dirigido especialmente a tratar datos de estos”. Puede ocurrir que, en un despacho de abogados, se esté tratando un caso que implica la recogida de numerosos datos de menores, por lo que es necesario realizar una evaluación de riesgos.
- “Cuando se vaya a llevar un tratamiento destinado a evaluar o predecir aspectos personales relevantes de los afectados, su comportamiento, su encuadramiento en perfiles determinados, a tomar medidas que produzcan efectos jurídicos que los atañen o los afectan significativamente”.
- “Cuando se traten grandes volúmenes de datos personales a través de tecnologías como la de datos masivos, internet de las cosas o el desarrollo y la construcción de ciudades inteligentes”.
- Cuando el tratamiento acumule gran cantidad de datos respecto de los interesados. En los despachos de abogados pueden estarse llevando a cabo casos de violencia de género, por ejemplo, en los que existan varios implicados, por lo que se lleva a cabo el tratamiento de una gran cantidad de datos de los interesados.
- Cuando se cedan o comuniquen los datos personales a terceros. En el caso de los despachos de abogados, a veces se pueden poner en marcha iniciativas que supongan compartir los datos personales con otras personas que no contaban con acceso a ello.
Los despachos de abogados deben incorporar el uso de estas guías en sus políticas. Gracias al desarrollo específico de las situaciones en las que la AEPD aconseja llevar a cabo la evaluación de impactos, los despachos de abogados, así como los ciudadanos, se encuentran respaldados.
“En materia de protección de tratamiento de datos no importa el tamaño de la empresa”
Rafael García, responsable del área Internacional de la Agencia de Protección de Datos, establece que “en materia de tratamiento de datos no tiene importancia el tamaño, se puede ser una empresa pequeña y tener un uso intensivo en el tratamiento de datos”. Los despachos de abogados son un buen ejemplo de ello. Como consecuencia, aclara Rafael García, “es fundamental promover que las pymes estén en condiciones de cumplir con el Reglamento; no es una cuestión formal, se trata de respetar los derechos de los datos de los ciudadanos”.
Los despachos de abogados son organizaciones que deben regirse a la norma comunitaria de aplicación directa, pues se trata de espacios empresariales en los que, día a día, se acumulan y solicitan datos. Información corporativa, de sus clientes, etc. La AEPD endurece, así, “el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados, o no, por cualquier entidad, así como la manera en que se accede a ellos”. Ante el desconocimiento o la incertidumbre que las empresas encuentran a la hora de adaptarse al Reglamento General de Protección de Datos (RGPD), Rafael García ha explicado en una entrevista concedida al periódico El Economista, que “en la Agencia son conscientes de las dificultades que el Reglamento puede acarrear a las empresas más pequeñas, con recursos limitados”.
En este punto, entran en juego los sistemas de protección de datos, puestos a disposición por profesionales tecnológicos. A la vez, la propia AEPD ha estado trabajando en desarrollar material de ayuda que permita a las empresas comprender cómo deben tratarse los datos personales a partir del próximo 25 de mayo.
El Análisis de Riesgos y la Evolución de Impactos de los despachos de abogados conforman un solo camino: cumplir con el RGPD y procurar que los ciudadanos puedan controlar sus datos personales, así como disponer y decidir sobre ellos.
Si eres un despacho de abogados, es necesario que tomes medidas en la protección de datos y sigas los pasos establecidos por el organismo oficial que vela por ello.
¡Corrige anticipadamente tus riesgos y evita los costes derivados de descubrirlos después!