Ciberseguridad y responsabilidad legal: el papel de los abogados ante las brechas de datos

InLaw Alliance - El tratamiento de la información en el tiempo actual pasa inexorablemente por el manejo digital de los datos y documentos, y eso nos obliga a todos los que tratamos datos ajenos, a garantizar su legalidad y seguridad.  

La implementación de un sistema de ciberseguridad que proteja los datos y los ponga a salvo de accesos no consentidos, adquiere especial relevancia en el caso de los abogados, que somos depositarios de informaciones sensibles de nuestros clientes, relacionadas con su asesoramiento o, eventualmente, con su defensa en juicio, y por lo tanto somos deudores, frente a ellos, de un tratamiento de toda esa información, esmerado y realizado en un  ámbito seguro.

Pero naturalmente, ningún sistema de protección, por sólidos que sean sus protocolos, es infalible.  Los abogados debemos tener en mente las consecuencias y el modo de proceder para el caso de que se produzca una brecha de seguridad, como responsables del tratamiento de esos datos, que, además, se hallarán sujetos, normalmente, a secreto profesional.

El concepto de brecha de seguridad, en el ámbito de la Unión Europea, viene dado por las Guidelines 01/2021 del Comité Europeo de Protección de Datos y por el Reglamento Europeo de Protección de Datos 679/2016.

Tienen la consideración de brechas de seguridad todas aquellas violaciones de seguridad que puedan afectar a datos personales que sean objetos de tratamiento.

Destaca el Comité en las citadas Guidelines que las brechas de seguridad son un riesgo en sí mismo, incluso aunque no lleguen a producirse daños, y que además son una muestra de la vulnerabilidad del sistema de almacenamiento y protección.

Producida la brecha, el responsable del tratamiento tiene la obligación de poner en conocimiento de la respectiva Autoridad nacional de Protección de Datos, el acceso no autorizado o el fallo de seguridad que ha puesto en riesgo los datos, junto con una primera estimación del potencial daño que de ello pueda derivarse, correspondiendo además a cumplir con el protocolo de aviso a los afectados potenciales.  
Esta preceptiva comunicación, que entraña un inevitable punto de descrédito para la fiabilidad de los sistemas de seguridad de cualquier responsable de tratamiento, puede suponer para los abogados un daño reputacional añadido.

Es evidente que el factor confianza, fundamental en la relación abogado-cliente, puede verse dañado si trasciende entre los clientes del abogado, que la seguridad de la información puesta en sus manos –información sensible, quizá vinculada a algún proceso judicial, o arbitral, en curso-- puede estar siendo conocida, o hasta usada, por parte de terceros, incluidas sus contrapartes o adversarios.

En todo caso, hay una idea sobreentendida muy generalizada y que conviene clarificar:  el hecho de que se produzca una brecha de seguridad no supone, en sí mismo, la existencia de daño económico efectivo para los titulares de los datos. Solo supone, en principio, que el sistema de seguridad tiene fallos, o que ha sido burlado, o ambas cosas. La  comunicación de la brecha a la Autoridad es preceptiva en cualquier caso, pero el acceso no consentido, más allá de su absoluta ilegalidad-- puede no haberse traducido en daños cuantificables para nadie. Aunque naturalmente los daños pueden, no solo existir, sino hasta ser realmente devastadores. Desde el simple uso indebido de la información, su secuestro, la suplantación de la identidad de los titulares de los datos para operaciones de fraude etc.

En el caso de que la brecha de seguridad se traduzca en daños o perjuicios hacia los titulares de los datos, puede nacer, lógicamente, un deber de indemnización, a cargo del responsable del tratamiento, que estaba obligado a su custodia segura.  Estas reclamaciones requieren la acreditación por parte del titular de los daños reales sufridos y derivados del uso no autorizado que se haya podido realizar de los datos afectados en la brecha, más la cuantificación efectiva y prueba de su importe.   

El caso de una brecha de seguridad, que afecte a los archivos profesionales de un abogado, presenta singularidades evidentes. Además de los riesgos generales que se proyectan sobre cualquier responsable de tratamiento, los abogados, según hemos dicho, somos depositarios de documentos y datos sujetos a secreto profesional.  Siempre existirá el riesgo de que, incluso las medidas de seguridad más sofisticadas, pueden ser burladas y con ello se produzca el quebrantamiento, involuntario, pero real, de ese secreto. Por eso, no cabe duda de que el abogado se halla especialmente sujeto a ese deber de proteger la información, haciendo de la ciberseguridad un pilar básico e inseparable de su prestación de servicios legales.  Acaso se haya convertido este en uno de los elementos modernos que basan la relación de confianza abogado-cliente: la garantía de la auténtica seguridad de la información. 

Otro aspecto de la cuestión es la validez que puedan tener en un juicio el uso de datos eventualmente robados o hackeados al abogado de la parte adversa.  ¿Pueden ser usados y valorados como prueba legítima, o se considerarían por los Tribunales como prueba ilícita, por su origen espurio?. Esta es una cuestión interesante, pero muy compleja y que desborda los límites de este artículo. Aunque los pronunciamientos judiciales producidos en Europa, como consecuencia de los diversos saqueos de despachos producidos en la última década (Papeles de Panamá, Papeles de  Pandora, el caso del Futbol- Leaks, en España etc) donde parte de la documentación hackeada a los abogados ha sido utilizada en juicio contra su clientes, y validada por la mayor parte de los Tribunales y Fiscalías, no invita al optimismo.
Pero ese es otro tema, otro artículo.

inlawalliance.com