Preguntas previas a la aplicación del rgpd en los despachos de abogados

Preguntas previas a la aplicación del rgpd en los despachos de abogados

¿Tienes dudas sobre el nuevo RGPD? ¿has adaptado tu centro de negocios a la normativa? Son solo dos de las preguntas generales, previas y comunes que se están gestando en los despachos de abogados de cara a la aplicación del Reglamento General de Protección de Datos (RGPD) el próximo 25 de mayo.

¿Qué preguntas y respuestas se hacen los abogados? Esta es la ruta que debes seguir

Toda buena decisión comienza por una pregunta correcta. Nosotros lo sabemos, por eso queremos compartir contigo las preguntas más frecuentes que se hacen los despachos de abogados, así como las que se deberían hacer, paso por paso, para quedar correctamente adaptados a las nuevas exigencias del RGPD.

¡El tiempo se acaba!

  • P1: ¿Debo elegir un DPO – Delegado de Protección de Datos?

La acción de proteger los datos ha venido siendo considerada como una situación compleja difícil de alcanzar el máximo nivel de cumplimiento. Sin embargo, el paso del tiempo y el requerimiento de nuevas exigencias han hecho que algunos profesionales desarrollen sistemas de protección fáciles, rápidos y seguros. Se trata de un proceso que, en los despachos de abogados, debe empezar por designar la figura del DPO.

Las partes interesadas dentro de la organización podrían ser: responsable de TI en cuestiones de seguridad; responsable de llevar a cabo la formación; responsable del departamento de comunicación; responsable de marketing, quien debe proteger su marca y los datos de sus clientes; responsable de cumplimiento, quien debe asegurarse de que la empresa cumple con la normativa vigente, así como de identificar riesgos.

Sobre el Análisis de Riesgos y la Evaluación de Impactos…

  • P2: ¿Debo analizar los riesgos y posibles incidentes?

Analizar los riesgos es una acción que lleva implícito el estudio cualitativo de las causas, amenazas y daños o consecuencias que pueden producirse. De esta manera, se pretende identificar las características propias del ejercicio de estas empresas para el derecho fundamental a la protección de datos de las personas afectadas. El objetivo final es que, tras este análisis de riesgos, para el que la Agencia Española de Protección de Datos (AEPD) establece una guía, puedan afrontarse los incidentes, limitarlos y eliminarlos.

El análisis de las vulnerabilidades informáticas y potenciales brechas de seguridad es obligatorio para los despachos de abogados. Si no hacen esta tarea, no podrán implementar ni barajar ninguna posibilidad con respecto a las mejores soluciones informáticas desarrolladas para “impedir, bloquear o neutralizar los ataques”.

  • P3: ¿Debo hacer una EIPD – Evaluación de Impactos?

Partiendo del punto anterior, es importante que los despachos de abogados puedan hacer una valoración objetiva de los riesgos vinculados al uso de las nuevas tecnologías. Para ello, las técnicas que deben utilizar responden a métodos cuantitativos y el objetivo principal es: comparar el nivel de riesgo identificado con criterios establecidos previamente.

Sin embargo, ¿cuáles son las situaciones en las que sería aconsejable llevar a cabo una evaluación de este tipo? Veamos un ejemplo proporcionado por la AEPD Según la AEPD: “cuando se lleve a cabo un tratamiento significativo no incidental de datos de menores o dirigido especialmente a tratar datos de estos”.

Sobre la gestión de la seguridad…

  • P4: ¿Qué nivel de seguridad debo establecer?

Esta acción dependerá en todo momento del tipo de datos que estemos manejando, pues no es lo mismo trabajar con nombres y domicilios que con información propia de la salud y de las bajas laborales, por ejemplo. En el primer caso estaríamos ante el nivel básico de seguridad de los ficheros, mientras en el segundo estaríamos inmersos en el nivel más alto. Para este, el RGPD establece el cifrado y las garantías de confidencialidad, integridad, disponibilidad y resiliencia.

  • P5: ¿Qué características debe tener el sistema de protección de mi despacho?

Por lo general, la protección de los dispositivos informáticos comienza por la descarga o la incorporación de un antivirus. Sin embargo, la capacidad de compartir datos e información, así como las posibilidades que permite la red a los usuarios, han dejado esta alternativa en la insuficiencia. No lo decimos nosotros, lo dice el RGPD, que impone el uso del cifrado para quienes trabajan o manejan información de carácter sensible.

Uno de los escenarios en los que se debe incorporar dicha medida es en los despachos de abogados, propensos a utilizar y almacenar datos personales de sus clientes. Por ello, muchos profesionales ya han desarrollado aplicaciones de protección que contienen el cifrado, pero muy pocos han añadido un plus a esta técnica. Hay quienes han encontrado una solución única en la combinación del cifrado/encriptado, con sus respectivas claves simétricas y asimétricas, y el IRM (Information Rights Management).

Podríamos afirmar que nos encontramos ante el sistema más completo de protección, pues nuestros datos siempre estarán protegidos, vayan donde vayan, y, lo que es mejor, nunca perderemos el control sobre ellos.

  • P6: ¿Qué ocurre si una figura externa trata datos personales?

En este caso, los despachos de abogados deben establecer contratos con terceros. Viene reflejado en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD), donde se establece que “cuando una figura externa trata datos personales, porque así se lo hemos encargado, debemos de contar con un contrato de tratamiento de datos donde se especifique claramente las instrucciones del responsable del fichero”.

Sobre el RGPD…

  • P7: ¿Qué puede ocurrir si no me adapto al RGPD?

Es el propio Reglamento quien tiene las respuestas numéricas a esta pregunta: “las sanciones están divididas en tres niveles (leves, graves y muy graves), y oscilan entre los 900 y los 600.000 euros por cada dato que no se trate debidamente”. Además, entre las nuevas exigencias también se recoge la posibilidad de que los Estados miembros asocien infracciones y sanciones administrativas con otras cuestiones penales.

No obstante, existen consecuencias muy perjudiciales que no vienen recogidas en el Reglamento por su carácter abstracto: pérdida de la confianza de los clientes; mala reputación; posible caída en el mercado de valores; pagos por rescate de la información; pérdida de activos; cierre del negocio; difamación del despacho de abogados, etc. En la actualidad, nos encontramos inmersos en la era de la información y de los datos. Por ello, lo que pretende el RGPD es garantizar la libre circulación de los datos en la Unión Europea.

  • P8: ¿Qué debo hacer con los ficheros?

En primer lugar, llevar a cabo su inscripción. Para poder desarrollar dicha acción, así como la posterior modificación o supresión, si fuera necesario, se puede acceder a la Sede Electrónica de la AEPD y efectuar las solicitudes de inscripción en el Registro General de Protección de Datos.

  • P9: ¿Qué papel juego en el establecimiento de los derechos ARCO?

Los derechos de Acceso, Rectificación, Cancelación y Oposición son los establecidos por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y aquellos por los que pretende garantizar a las personas el poder de control sobre sus datos personales. Para ello, es necesario establecer los protocolos necesarios.

  • P10: ¿Necesito ayuda?

La adaptación al nuevo Reglamento ha suscitado incertidumbre, preocupación y problemática entre las empresas, principalmente porque no saben cómo deben adaptarse al mismo. Por ello, buscan ayuda y consultan la oferta de diferentes servicios que les guíen en la adaptación al mismo. Hoy, no es suficiente con establecer el nivel de seguridad adecuado, pues los despachos de abogados necesitan sistemas que puedan extender la protección hacia cada punto de conexión de red y abordar, así, los requisitos de cumplimiento normativo.

¡Es el momento de poner en práctica sus respuestas!