Después de dieciocho años desde que el Consejo General aprobó la primera Ley calificada de protección de datos personales, el pasado 17 de noviembre de 2021 ha sido publicada la nueva Ley 29/2021, de 28 de octubre, calificada de protección de datos personales (en adelante LPD), que entrará en vigor en mayo de 2022.

Esta Ley tiene por objeto actualizar la normativa andorrana relativa al tratamiento que tanto personas o entidades privadas como la Administración pública llevan a cabo de los datos correspondientes a personas físicas, a la luz de la nueva regulación europea, especialmente al Reglamento (UE) 2016 /679 del Parlamento Europeo y del Consejo. La nueva Ley introduce novedades importantes respecto a la legislación anterior, por lo que el presente artículo busca concretar las obligaciones en materia de protección de datos que se deriven para la profesión de la abogacía.

En este sentido, los abogados (o la organización a la que pertenecen), deben aplicar un conjunto de medidas técnicas, organizativas y legales que permitirán a la organización asegurar la confidencialidad, integridad y disponibilidad de la información.

En primer lugar, conviene mencionar el deber específico que establece la nueva LPD de, a la hora de tratar datos personales de los clientes, asegurar recabar el consentimiento expreso de los mismos. A estos efectos, se entenderá por consentimiento la manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta (art. 4.2 LPD), quedando excluido el consentimiento tácito.

Por otra parte, la LPD añade para los interesados, al margen de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición), otros nuevos, los cuales tendrán que ser garantizados por los abogados en el tratamiento de datos personales. En primer lugar, el derecho de limitación, que implica que los afectados podrán solicitar la limitación en el tratamiento de sus datos personales (art. 22 LPD). Por otro lado, el derecho a la portabilidad, que comporta el derecho a que transmita los datos a otro responsable del tratamiento o al propio interesado, a través de un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios automatizados (art. 23 LPD). Asimismo, se contempla el derecho de la persona interesada a no verse sometida a decisiones individuales automatizadas y elaboración de perfiles (art. 25 LPD).

Sin embargo, de la nueva Ley se deriva la obligación por los abogados de realizar un análisis de los riesgos, es decir, tendrán que valorar las posibles contingencias de estos tratamientos de datos. Consecuentemente, en caso de que el riesgo resulte especialmente alto, tendrán que realizar una evaluación del impacto a fin de minimizar las posibilidades de afectar a los derechos o libertades de los interesados, y tendrán que implementar las medidas de seguridad adecuadas (art. 32 LPD).

Resulta preciso considerar también la exigencia de llevar el registro de actividades de tratamiento, que únicamente se dará cuando la organización cumpla con los siguientes requisitos: tenga más de 50 trabajadores; el tratamiento pueda comportar un riesgo para los derechos y libertades de las personas interesadas; no sea ocasional; o incluya categorías especiales de datos personales (art. 34 LPD).

Por otra parte, cuando se cedan datos a terceros, se exigirá un deber de diligencia en la selección del encargado del tratamiento. Concretamente, deberá escogerse un encargado que ofrezca las garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de forma que el tratamiento garantice la protección de los derechos de los interesados, y éste sólo podrá tratar estos datos siguiendo instrucciones del responsable, salvo que esté obligado por una exigencia legal (art. 31 LPD).

Es más, cuando el abogado forme parte de una organización, los trabajadores de la misma tendrán que firmar un acuerdo de confidencialidad para evitar que los datos personales que sean tratados puedan llegar a personas no autorizadas. Asimismo, deberá asegurarse de que los trabajadores cumplan con las medidas de seguridad establecidas.

Por el supuesto de que se produjera una violación de la seguridad de los datos personales, como es un ciberataque, ésta deberá ser notificada a la Agencia Andorrana de Protección de Datos (APDA) en un plazo máximo de 72 horas (art. 36.1 LPD) , y en su caso, a los interesados ​​afectados (art. 37.1 LPD).

En último término, añadir que la nueva Ley ha introducido la figura del Delegado de Protección de Datos (DPD), quien será la persona encargada de instruir al responsable del tratamiento sobre las obligaciones legales que debe observar en el ámbito de la protección de los datos. En el caso de los despachos de abogados, dado que, por regla general, tratan datos personales a gran escala, serían considerados como sujetos obligados a designar un DPD.

A modo de conclusión, los profesionales de la abogacía, en tanto que profesión que presta un servicio a la sociedad en interés público por medio del consejo y la defensa de derechos e intereses públicos y privados, se determinan como sujetos obligados por la LPD, la cuál busca asegurar un nivel adecuado de protección de los datos de carácter personal de las personas físicas, en tanto que quede garantizado el derecho fundamental establecido en el artículo 14 de la Constitución del Principado de Andorra.