La fuga de datos en bufetes abre la caja de Pandora

El incumplimiento de la normativa acarrea sanciones y un daño reputacional

Los Papeles de Pandora, filtración de 12 millones de documentos secretos de 14 bufetes de abogados, no solo han destapado los secretos financieros de 35 jefes y ex jefes de Estado y más de 330 altos cargos y políticos en 91 países, sino que también ha servido para recordar las obligaciones sobre protección de datos.

El despacho Alcogal, con sede en Panamá, manejó 253 sociedades ligadas a españoles en paraísos fiscales, actividades legales si se declaran a las autoridades donde el beneficiario tiene su domicilio fiscal. Esta filtración se sustenta en el acceso a informes que los bufetes deben remitir a las autoridades cuando detectan alguna ilegalidad.

El bufete que aparece con más frecuencia en los Papeles de Pandora es Trident Trust, que abrió sus oficinas en las islas del canal de la Mancha en 1978. En Iberoamérica, estas actividades puestas al descubierto son del despacho OMC Group, constituido en 1955, con sede en Panamá. También afecta a la reputación de Baker McKenzie, el bufete más grande de EE UU y con oficinas en España, que aparece en la investigación por su asesoramiento en más de 440 empresas registradas en paraísos fiscales, aunque no hay registros internos del despacho entre los archivos filtrados.

Escándalos públicos como los Papeles de Panamá o Football Leaks tienen su origen en una fuga de información en despachos de abogados que evidencian la necesidad de establecer mecanismos de protección de datos en los bufetes.

En España, más del 75% de los 150.000 letrados ejercen en solitario o asociados con otros compañeros en pequeños despachos. La gestión diaria del bufete, la atención personal a clientes y la dedicación a preparar los juicios provocan que los pequeños despachos apenas presten atención a sus obligaciones sobre protección de datos.

Estas carencias en protección de datos “también afectan a despachos medianos”, asegura el abogado Alfonso Pacheco; una insuficiencia no exclusiva de los letrados, “se da en los procuradores, en toda profesión liberal, el mundo empresarial y, casi en mayor medida, en el sector público”.

Muchos letrados olvidan la obligación de cumplir con la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales. Es una normativa desconocida. Aunque sea de obligado cumplimiento para el abogado y para el procurador, no se incluye en los planes de estudio del grado de Derecho.

Normativa obligatoria

Para Pacheco, es necesario que el abogado sea “consciente de que el cumplimiento de esta normativa es obligatorio y que su incumplimiento puede acarrear no solo sanciones de carácter económico, sino incluso un daño reputacional”. Los Papeles de Panamá costaron al bufete Mossack Fonseca –con 44 filiales repartidas por muchos países, sobre todo en China– el cierre total de sus operaciones en 2018, dos años después de revelarse el escándalo financiero.

Aunque haya desaparecido la obligación de la inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD), los letrados están obligados a cumplir la normativa porque acceden a datos de carácter personal de sus clientes en el ejercicio de sus atribuciones y competencias; además, someten estos datos a tratamiento automatizado por medios informáticos o de forma manual mediante la agenda de clientes.

Los abogados son los responsables del cumplimiento de tratar los datos de manera lícita, que sean exactos, recogidos con fines determinados, adecuados, pertinentes y limitados a lo necesario y además deben ser capaces de demostrarlo, lo que se denomina “responsabilidad proactiva”.

Ricard Martínez, profesor de Derecho Constitucional de la Universitat de València y director de La Ley Privacidad, hace una primera recomendación “casi emocional, no se trata de aplicar una normativa más, no es burocracia, protegemos la integridad y las libertades de las personas que confiaron en nuestro despacho. Y ello implica una serie de decisiones sustanciales”.

Entre estas recomendaciones cabe destacar diseñar el cumplimiento con rigor y siguiendo las metodologías del Reglamento General de Protección de Datos; utilizar las soluciones en la nube solo de proveedores confiables; en relación con los proveedores, disponer de un contrato adecuado de encargado del tratamiento… pero, sobre todo, garantizar adecuadamente los derechos de las personas.

Confidencialidad

Uno de los principios fundamentales de la abogacía es garantizar la confidencialidad de los datos de sus clientes, que viene reforzado con la obligación del secreto profesional. Los bufetes tienen que tener una especial atención para evitar el acceso ilegítimo a la información y para ello deben tratar los datos de acuerdo con los principios recogidos en la normativa europea. Para autorizar la recogida de datos, lo más adecuado es la hoja de encargo profesional.

Entre las brechas más habituales en las medidas de seguridad sobre confidencialidad están remitir a un compañero un modelo de demanda sin anonimizar los datos, recibir a clientes con varios expedientes sobre la mesa del despacho, tras un juicio tomar un café con documentación sobre la barra del bar…

En relación al uso de las nuevas tecnologías, los olvidos más comunes son el envío de documentos a través de Whats­App, utilizar los ordenadores de las dependencias judiciales o colegiales sin eliminar documentos dejados en el escritorio digital, no cerrar debidamente las sesiones de Drive o Dropbox, compartir ordenador con familiares o compañeros o dejar a los hijos que hagan uso del teléfono móvil profesional.

Si ha habido una fuga de datos en el bufete con riesgo probable para los derechos y libertades de sus clientes, los letrados europeos están obligados a notificar esta situación a la autoridad de control competente en un plazo de 72 horas. Pero si el riesgo no solo es probable, sino que se considera alto (como ocurre en los Papeles de Pandora), los profesionales de la abogacía están obligados a notificar esta brecha de seguridad también a los propios interesados sin dilación, con el innegable daño reputacional.

Ante una inspección de la AEPD, Ricard Martínez recomienda actuar con responsabilidad proactiva, “porque no solo estará cumpliendo la norma, sino que podrá presentar evidencias” y aprovechar todas las posibilidades que la ley y la propia agencia ofrecen. Si se produjo infracción, la mejor opción consiste en centrar el esfuerzo del bufete en el remedio, adoptar las medidas oportunas que derivan de las lecciones aprendidas y poner toda la información a disposición de la AEPD.

CONTROL DE LA AEPD

• Multas impuestas. En 2020, la Agencia Española de Protección de Datos (AEPD) impuso 167 multas, un 49% más que en 2019, cuando hubo 112. En relación al importe total de las sanciones, en 2019 fue de 6,3 millones, mientras que en 2020 se impusieron más de 8 millones con un incremento del 27%. La abogacía no es un colectivo especialmente sancionado por la AEPD.

• Documentación en la basura. La AEPD apercibió en 2021 a un bufete por tirar a un contenedor de basura ubicado en la vía pública dos bolsas de plástico con documentación relacionada con expedientes del despacho: escrituras, poderes notariales, sentencias, testamentos…
• Burofax indebido. La remisión por un abogado de un burofax relacionado con un procedimiento penal a una persona sin que, a juicio de la AEPD, se tuviera legitimación para ello se saldó con el pago de 1.600 euros como sanción impuesta al bufete. La primera decisión del despacho tras la reclamación fue activar el protocolo de brecha de seguridad y/o fuga de información confidencial y datos personales.

• Reutilizar papeles. La AEPD también sancionó con 2.000 euros a una abogada por reutilizar papel con datos personales de otros clientes en la convocatoria a los inquilinos de un inmueble. Se usó un folio en cuyo reverso aparecían datos de terceros sobre procedimientos en los que la reclamada trabajó como abogada, haciéndolos accesibles sin el consentimiento de sus titulares.
• Web. La AEPD archivó las actuaciones contra un bufete porque este corrigió a tiempo las incidencias de su web en tratamiento de datos personales, política de privacidad y política de cookies.

Fuente: cincodias.elpais.com