Adaptación al RGPD para abogados

por | 10,Mar,2018 | Protección de datos y nuevas tecnologías | 2 Comentarios

Se qué te estás preguntando en qué consiste la adaptación al RGPD y cómo nos afecta a los abogados.

La adaptación te va a costar más o menos trabajo dependiendo del grado de cumplimiento que tuvieras con la LOPD. Si hasta ahora te habías limitado a inscribir ficheros, vas a tener que esforzarte más.

El  RGPD exige a todas las empresas, lo que por supuesto nos incluye a los abogados, una actitud consciente, diligente y proactiva frente a todos los tratamientos de datos personales que lleven a cabo (principio de responsabilidad proactiva).

El principio de responsabilidad proactiva, no obliga a hacernos responsables de los datos que manejamos y a adoptar medidas reales y efectivas.

Se que habrá muchos que pensaban que cumplían con la LOPD sólo por haber inscritos los ficheros, y tener un documento de seguridad en el estante, pero no era más que obligaciones formales que ahora desaparecen.

¿ Cómo de proteger la información?

La protección de la información se articula en torno al respeto de tres principios básicos: confidencialidad, integridad y disponibilidad.

1.- La confidencialidad implica que la información sea accesible únicamente por el personal autorizado.

2.- La integridad de la información implica que la información sea correcta y esté libre de modificaciones y errores.

Hay que tener presente que la información ha podido ser alterada intencionadamente o ser incorrecta, lo que supone un riesgo si estamos basando nuestras decisiones en ella.

3.- La disponibilidad de la información se refiere a que la información esté accesible para las personas o sistemas autorizados, cuando sea necesario.

Entenderéis la importancia que tiene en cuanto a confidencialidad se refiere, la ciberseguridad.

Y con respecto a integridad y la disponibilidad de la información, debéis reflexionar en cómo tenéis organizado el despacho, no sé si estás digitalizado o eres de los que siguen aferrado al papel, si es así, tienes que hacerte a la idea y cambiar.

Piensa en la avalancha de correos y archivos que recibimos diariamente, y piensa si sabes donde lo tienes todo en todo momento, y si lo tienes disponible cuando lo necesitas.

Pues bien, no hay más opción que utilizar un programa de gestión, y preferiblemente en la nube, es la mejor forma de tenerlo accesible en todo momento. Imagina esta situación, que hay un incendio en tu despacho, se destruye el papel, los equipos se dañan, y para colmo la copia de seguridad que igual no estaba del todo actualizada, pero medio te podía salvar la vida, la tienes dentro del despacho, ¿que haces?

Bien, debes prevenir este tipo de situaciones, adelantarte y poner solución antes de que no haya remedio.

Además, si no sabes los datos que tienes, ni dónde los tienes, va a ser muy difícil analizar el riesgo, adoptar medidas de protección y mucho menos crear los protocolo que nos exige que creemos en nuevo Reglamento.

La información en un despacho de abogados es nuestros activos más importantes, por no decir que es el más importante.

Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados (extorsión, desprestigio, etc.) o, simplemente, utilizada como objeto que se comercializa y vende a escala global en todo tipo de ámbitos y sectores.

Por lo que la ciberseguridad debe ser un elemento indispensable en la estrategia de nuestro despacho:

La protección frente a las ciber amenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, …) y el fomento de las medidas de prevención y reacción, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de nuestro despacho.

Aunque tampoco hay que descuidar la implementación de medidas organizativas que ayuden a la sensibilización, formación, concienciación y educación de todos los miembros de la organización, desde el abogado junior que comienza con nosotros, hasta el socio más veterano. 

 En cuanto a las tareas necesarias para adaptarse al RGPD, os diré que no son pocas:

  • Designación del DPD
  • Registro Actividades de tratamiento
  • Identificar finalidades y base jurídica
  • Análisis de riesgos
  • Revisar medidas de seguridad a la luz de los resultados del análisis de
  • riesgos
  • Crear mecanismos y un procedimiento de notificación de brechas
  • Valorar tratamientos que requieren (Evaluación de Impacto de Protección de Datos)
  • Realizar EIP (Evaluación de Impacto de Protección de Datos)

Otras actuaciones simultáneas:

  • Adecuar formularios al derecho de información
  • Crear mecanismos y procedimientos para el ejercicio de los derechos
  • Valorar si los encargados del tratamiento (asesoría, colaboradores de vuestro despacho…) ofrecen garantías y adaptación de contratos
  • Elaborar/Adaptar Política de Privacidad de tu página web o blog

Poco a poco iré profundizando en el tema, sólo os voy a hablar del Registro de Actividades de Tratamiento y del Análisis de riesgo. Y eso porque son las primeras tareas que tenéis que hacer. En cuanto a la designación de DPD o DPO (por sus siglas en inglés, Data Protection Officer), figura que va llevando a todo el mundo de cabeza,  pocos vais a estar obligados a nombrarlo, sólo tendreis obligación si os dedicais a temas de inversiones, con lo que salvo que os interese mucho el tema, no voy a tratarla, cuando menos de momento.

Con todo si hay estais interesados podeis encontrar información  en la página de la AGPD, os dejo aquí  un enlace.

¿Que es el Registro de Actividades de Tratamiento?

El Registro de Actividades de Tratamiento viene a sustituir a la obligación de inscribir los ficheros,  si bien no todos están obligados a realizar el Registro, sólo están obligados los responsables y  los encargados del tratamiento que:

  1. Tengan más de 250 empleados.
  2. Realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.
  3. Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Aunque pocos despachos van a estar obligados por el primer punto, si lo vamos a esta por el segundo y el tercero.

El Registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que contenga cuestiones como:

  • Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese.
  • Finalidades del tratamiento
  • Descripción de categorías de interesados y categorías de datos personales tratados
  • Transferencias internacionales de datos…

Para organizar el registro de actividades de tratamiento podeis partir de los ficheros que ya teníais inscritos en Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.

O también podéis estructurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas, por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”, …

¿Cómo analizo el riesgo? 

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados.

La información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados (extorsión, desprestigio, etc.) o, simplemente, utilizada como objeto de comercializar y vender escala global en todo tipo de ámbitos y sectores.

Por lo que las fugas de información son unas de las mayores amenazas a la que nos enfrentamos los abogados.

En la mayoría de los casos, las fugas de información implican la ausencia o ineficiencia de algún tipo de medida o de procedimiento de seguridad, implementados para evitar este tipo de incidentes.

Los sistemas de información con base tecnológica están presentes de alguna forma en todos los procesos que realizamos,

Es cada vez más frecuente el uso de dispositivos móviles y servicios en la nube para el desarrollo de nuestra actividad, nos comunicamos con nuestro clientes por dife­rentes medios: correo electrónico, página web, redes sociales, aplicaciones móviles, etc. Lo que aunque tiene muchas ventajas, también conlleva un riesgo. Por lo que  la ciberseguridad debe ser una prioridad.

Te aconsejo que empieces por realizar un autodiagnóstico, utilizando la herramienta que ha desarrollado el INCIBE (Instituto Nacional de Ciberseguridad), aunque no es más que una evaluación inicial del riesgo de seguridad es un primer paso para mejorar la ciberseguridad de tu despacho.

También te puede ser útil,  esta otra herramienta que ha desarrollado la AGPD, se llama facilita, y aunque está diseñada para empresas que conllevan escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan, te puede servir de orientación, si contesta que no a todas las preguntas, te llevará a un cuestionario y te propondrá algunas mejoras que debes realizar. Si le dices que si a alguna de las preguntas que tienes que realizar, no te deja continuar y te advierte de que debes realizar una evaluación de impacto.

Hay otra herramienta que se llama Evalua, sirve para analizar el estado de cumplimiento de la LOPD y las medidas de seguridad, pero te puede resultar de utilidad, si no cumples con la LOPD, muchos menos vas a cumplir con el Reglamento, que es mucho más exigente.



2 Comentarios

    • AbogadosyMás

      Muy cierto, sin enbargo hay muchos despachos que no le dan la importancia debida a la protección de datos.

      Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Categorías

Nuestra APP para Comunidades de Propietarios

Entrada relacionadas

Contacta con nosotros

Pin It on Pinterest