La ciberseguridad como deber deontológico del abogado

El secreto profesional y el deber de confidencialidad, así como la protección de datos de carácter personal, constituyen elementos fundamentales dentro de los diversos derechos y obligaciones que revisten la exigencia ética del ejercicio diario del abogado. El respeto a estos deberes deontológicos adquiere especial significación ante el desarrollo de los últimos avances tecnológicos y su adecuación a los mismos: inteligencia artificial, machine learning, chatbots, bitcoin y blockchain, big data? Algunos de estos avances son ya una realidad, mientras otros, como la robótica, los vemos como algo todavía lejano. En este sentido, prestamos especial atención sobre aquellos que empiezan a estar presentes en las previsiones de la abogacía y la necesidad de la legislación que sobre el tema habrá que articular. El Código Deontológico de la Abogacía Española de 6 de marzo de 2019 es una buena muestra de ello. Asimismo, además de analizar la normativa europea y española de protección de datos de carácter personal, ligándola a la deontología profesional, se detallan los pasos a seguir que deben realizar las empresas y organizaciones respecto del proceso de adaptación a esta materia, tomando como referencia el ejemplo práctico de un bufete al que situamos como elemento de guía de nuestro análisis. A nivel comunitario, se hace especial hincapié en el Reglamento 2016/679 del Parlamento Europeo y del Consejo; y, respecto al ámbito español, nos detenemos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Ambos textos legales son tomados en consideración en cuanto a los pasos a dar por un despacho de abogados, en aras a la observancia de la correcta gestión de los datos. Abreviaturas Prólogo Capítulo I. DESDE LA APROBACIÓN DE LA «LEY DE INTERNET» HASTA LOS NUEVOS RETOS TECNOLÓGICOS: INTELIGENCIA ARTIFICIAL, MACHINE LEARNING, CHATBOTS, BITCOIN Y BLOCKCHAIN, BIG DATA? 1. Preliminar 2. La inteligencia artificial 3. Machine Learning 4. Cibertecnología y deontología Capítulo II. EL SECRETO PROFESIONAL Y EL DEBER DE CONFIDENCIALIDAD ADAPTADOS A LA CIBERSEGURIDAD 1. Preliminar 2. Elementos configuradores y definición 3. Heterogénea regulación 4. Determinación objetiva del secreto profesional: la utilización del sistema LexNET y la Autoridad de Certificación de la Abogacía Capítulo III. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1. Regulación estatal y europea 2. «Datos personales» e «interesado» 3. Principio de responsabilidad proactiva u objetiva 4. Gestión de los datos de carácter personal 4.1. Derechos y obligaciones respecto de los datos cedidos 4.2. Obligación de protección de los datos: el responsable y el encargado del tratamiento 5. El delegado de protección de datos Capítulo IV. ADAPTACIÓN DE UN DESPACHO DE ABOGADOS A LA NORMATIVA SOBRE PROTECCIÓN DE DATOS: IMPACTO NORMATIVO COMPARADO (A MODO DE INFORME TÉCNICO) 1. Consideraciones previas 2. Presentación de la persona jurídica que requiere la adaptación a la normativa de protección de datos de carácter personal 3. Marco legal en materia de protección de datos de carácter personal 3.1. Preliminar 3.2. Mención especial al rol desempeñado por el legislador español. Breve alusión a la situación de la Ley Orgánica de Protección de Datos de actual aplicación en su fase de proyecto 3.3. Perspectiva constitucional del derecho a la protección de datos de carácter personal 4. Ámbito de aplicación de la normativa 4.1. Ámbito de aplicación material 4.2. Ámbito de aplicación territorial 5. Las partes involucradas en la relación jurídica del tratamiento de datos y sus elementos periféricos 5.1. Responsable de tratamiento frente a responsable de ficheros 5.2. Encargado de tratamiento 5.3. Interesado o afectado 5.4. Terceros y destinatarios 5.5. Personal autorizado con acceso a datos 5.6. El delegado de protección de datos. Nombramiento de un DPD para un despacho de abogados 6. Transparencia en el cumplimiento del deber de información. La información por capas. El ejercicio de los derechos del interesado 6.1. El novedoso principio de transparencia con respecto al de lealtad y licitud 6.2. El deber de información al interesado. Información por capas 6.3. El ejercicio de los derechos del interesado 7. La licitud del tratamiento proyectada sobre el consentimiento del afectado 7.1. Las bases de legitimación del tratamiento. La posibilidad de tratar datos sin recabar el consentimiento del afectado 7.2. El nuevo modelo de consentimiento 8. Identificación y delimitación de los datos sometidos a tratamiento 8.1. Datos de carácter personal y concepto de tratamiento. Los datos de salud 8.2. Los sistemas de videovigilancia y alarma 9. Delimitación de los ficheros y sus elementos periféricos 9.1. Concepto y localización de los ficheros del despacho 9.2. Los niveles de seguridad y sistemas de tratamiento aplicables 9.3. Tensiones entre la obligación de inscripción de los ficheros en el Registro de la AEPD y la dispensa de este por el RGPD: el Registro General de Protección de Datos frente al Registro de Actividades del Tratamiento 10. El principio de responsabilidad proactiva. Análisis de riesgo y sus elementos periféricos 10.1. La responsabilidad proactiva y la actuación diligente 10.2. Análisis de riesgo, evaluación de impacto del tratamiento y consulta previa 10.3. Códigos de conducta vs. códigos deontológicos o de buena práctica profesional. Los mecanismos de certificación 10.4. Fuga de información. Medidas y violaciones de seguridad 11. Conclusiones específicas al informe sobre la adaptación de un despacho de abogados a la normativa sobre protección de datos Capítulo V. CONCLUSIONES GENERALES 1. En el ámbito técnico 2. En el ámbito normativo ANEXOS Anexo 1. Informe de la Comisión de Asuntos Jurídicos del Parlamento Europeo con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica Anexo 2. Cláusulas y modelos de formularios que debe implementar cualquier empresa en materia de protección de datos Normativa Jurisprudencia Bibliografía