Gestión de casos y cumplimiento del GDPR para abogados

Los abogados deben manejar los datos de los clientes de forma segura. Los datos deben estar disponibles en los lugares adecuados, en el momento oportuno, pero, por supuesto, también debemos cumplir el GDPR. Este artículo trata sobre los aspectos del cumplimiento del GDPR que deben tenerse en cuenta al utilizar tanto un sistema de gestión de casos como Outlook en el trabajo jurídico.

By: Lars Houmann, CTO, Abakion
» Lars on Linkedin

El reto más difícil: el correo electrónico

Empecemos por la parte en la que el GDPR suele causar más problemas a los abogados: el correo electrónico. La mayoría de los abogados escriben correos electrónicos en Outlook, y cuando empezamos a escribir “él” en el campo del destinatario, Outlook sugiere inmediatamente “Henrik”. La cuestión es si el Henrik que Outlook tiene en mente es el correcto.

Tener activado el autocompletado de destinatarios de correo electrónico es uno de los mayores riesgos cuando se trata del cumplimiento del GDPR. Sin duda, la mayoría de los abogados piensan que son solo los demás los que cometen errores, pero cualquiera puede caer en la trampa cuando las cosas están ajetreadas, y hemos visto una gran cantidad de correos electrónicos enviados a destinatarios equivocados por este motivo.

Evaluaciones individuales

El sistema de gestión de casos contiene una gran cantidad de datos que están regulados por el GDPR. Por supuesto, el sistema puede ayudar a cumplir el GDPR, pero sigue habiendo muchas decisiones que deben ser evaluadas por los abogados.

¿Cuándo un caso es obsoleto? ¿Y quién debe evaluar entonces si un caso obsoleto debe borrarse o simplemente anonimizarse?

Lo mismo ocurre con los clientes y los partidos. ¿Un cliente o parte obsoleto debe anonimizarse o eliminarse por completo? Depende de la situación.

¿Dónde se almacenan los datos personales sensibles?

Obviamente, existen datos personalmente sensibles sobre los casos, los clientes y las partes, y pueden estar en muchos lugares diferentes. Puede haber datos personalmente sensibles como un número de la seguridad social en la ficha del caso, o el caso puede estar registrado como relativo a una enfermedad concreta o a cualquier otra cosa de naturaleza personalmente sensible.

Pero, ¿dónde más se almacenan los datos personales sensibles?

¿Qué ocurre con los antiguos empleados? Esta es un área que exige especialmente el anonimato, porque puede haber registros de tiempos muy antiguos que serán requeridos como documentación en un momento posterior.

Los propios registros de tiempo, y las entradas publicadas, pueden decir algo como “recogida de la nota del médico re diagnóstico de enfermedad mental”. Eso también es personalmente sensible.

Luego están todos los datos almacenados fuera del sistema de casos y ERP, como todos los documentos almacenados en una solución documental (por ejemplo, SharePoint) o en un archivo compartido. Naturalmente, los documentos contendrán muchos datos personales.

Tampoco es seguro que sólo se trate de documentos susceptibles de búsqueda. Puede haber archivos de audio o grabaciones de vídeo de las vistas de los casos, por ejemplo. Estos son más difíciles de buscar por nombre o datos personales. Y qué decir de los archivos adjuntos a los correos electrónicos: ¿cómo pueden capturarse?


La eliminación tiene consecuencias

Cuando se empieza a anonimizar y borrar datos en la práctica, surgen una serie de retos.

Nosotros mismos hemos incorporado funciones GDPR en nuestro sistema de gestión de casos, Navokat. El objetivo es, por supuesto, proporcionar a los abogados toda la ayuda posible para anonimizar y borrar los datos, pero todas las decisiones requieren evaluaciones individuales, por lo que, lamentablemente, dista mucho de ser un proceso que pueda llevarse a cabo de forma automatizada.

Hemos incorporado una lógica en el sistema que le permite sugerir casos que deberían eliminarse. Lo hace en función de determinados criterios que usted mismo establece. A continuación, el abogado puede examinar las sugerencias y elegir lo que desea suprimir. Por ejemplo, puede pedir a la solución que le proponga casos archivados hace más de X años.

Por desgracia, ya hemos sabido de algún cliente que confió demasiado en las sugerencias del sistema y acabó borrando casos que, de hecho, no debería haber borrado. Y ahora los datos han desaparecido. Han desaparecido por completo, porque, si existiera una función de “deshacer”, no estaríamos cumpliendo con el GDPR.

Cuando decide eliminar un caso, no sólo se van la ficha del caso y el diario. También pueden ser los clientes, las partes y todos los documentos asociados al caso. Esto incluye los registros de tiempo, los asientos contables… todo lo que hay en el vientre del sistema ERP.

Borrar un caso es una decisión de peso. Es obligatorio según el GDPR, pero debe asegurarse de que comprende las consecuencias al tomar su decisión.

Algunos casos deben ser anonimizados – no borrados

Básicamente, el parámetro más importante es el tiempo. Cuando los casos son tan antiguos que ya no tiene sentido conservarlos, deben eliminarse. Algunos abogados interpretan que esto significa 10 años, otros dicen que 5 años. De hecho, las opiniones varían, pero el tiempo es siempre el criterio más importante.



Sin embargo, no todo debe borrarse. Si tiene una buena razón para conservar los datos, puede hacerlo. Una buena razón puede ser, por ejemplo, que el caso afecte a cuestiones de principio o atraiga la atención de la prensa o de las autoridades.

Los casos que impliquen cuestiones de principio no deben suprimirse, por supuesto, pero puede que sea necesario anonimizarlos en algún momento.

Una vez más, será cuestión de juicio si es de importancia fundamental que un nombre concreto aparezca en el caso o si el nombre puede ser anonimizado. Este es otro juicio en el que, por desgracia, su solución informática no puede ayudarle.Desgraciadamente, el reto de la anonimización se agrava aún más.

Si vamos a anonimizar a Peter Petersen, testigo en un caso, sin duda podemos buscar su nombre. En algunos lugares, sólo dice P. Petersen o Sr. Petersen. Y en la página 37 de un documento, dice “el propietario de la tienda de bicicletas”, que por supuesto todo el mundo sabe que significa Peter Petersen, porque es un pueblo pequeño con una sola tienda de bicicletas. También es necesario anonimizar esta mención.

Es difícil hacer que un sistema informático reconozca que ‘el propietario de la tienda de bicicletas’ se refiere a Peter Petersen, por lo que éste es otro trabajo en el que es difícil obtener ayuda de la tecnología. La tecnología no sólo tiene que reconocer ‘el propietario de la tienda de bicicletas’ como una referencia a una persona; también debe juzgar si es relevante en el caso de esta mención concreta saber que se refiere al vendedor de bicicletas. Esto requiere o bien un poco de inteligencia artificial seria o muchas horas de investigación manual.

¿Cuál es el grado de madurez de su sistema informático?

Las formas en que sus sistemas informáticos pueden ayudarle con el borrado y la anonimización se dividen en cuatro niveles:

  1. El nivel 1 es cuando el sistema le sugiere casos para que los evalúe.
  2. El nivel 2 es cuando el sistema puede llevar a cabo la eliminación de los casos, incluidas las entradas contabilizadas y los documentos, que usted decida eliminar.
  3. El nivel 3 es cuando el sistema puede realizar la anonimización de los casos según los criterios de búsqueda elegidos por usted. Es una especie de búsqueda y sustitución en el sistema de gestión de casos.
  4. El último nivel es aquel en el que el sistema puede utilizar la inteligencia artificial para encontrar todos los términos personalmente sensibles, como en el ejemplo del “propietario de una tienda de bicicletas”.

La gran mayoría de los sistemas se encuentran en los niveles 1 y 2. No podemos nombrar ninguno que se encuentre en el nivel 4 o que tenga perspectivas de alcanzarlo. Sin embargo, incluso si los sistemas pudieran cubrir los puntos 1 a 4, gran parte de la responsabilidad del cumplimiento del GDPR seguiría recayendo en los abogados que deben juzgar lo que hay que hacer en cada caso.

Solicitud de acceso

Ya está bien de hablar de supresión y anonimización. Otro tema que puede crear una gran carga de trabajo para los abogados es el de las solicitudes de acceso.

Cualquiera puede dirigirse a nosotros y pedir que le digamos lo que sabemos de él. Y entonces sacamos a un empleado del taller para que se siente a hojear los documentos y encuentre los lugares en los que se menciona a la persona en cuestión. Puede resultar totalmente desalentador para un bufete ordinario recibir muchas solicitudes de acceso de este tipo. Esta es otra de las cosas para las que necesitamos la ayuda del sistema.

En principio, el reto es el mismo que con la anonimización. Tenemos que ser capaces de encontrar datos en todos los recovecos de los casos y los documentos. El reto informático es el mismo, y tecnológicamente es difícil de resolver.

¿Quién puede hacer realmente qué?

Hay muchas subtareas en este ámbito, y la pregunta es: ¿quién puede hacer realmente qué en su organización? Cuando se dispone de un botón de borrado, no sirve de nada que cualquiera pueda pulsarlo accidentalmente y hacer que los datos se desvanezcan en el aire.

  1. La primera tarea es la identificación. Se trata de elaborar una lista larga de casos y datos que puede ser necesario eliminar. Se trata de una tarea muy propia de los sistemas informáticos, y está bien que la mayoría de las personas de la organización tengan acceso a la lista larga.
  2. La siguiente tarea es la evaluación de la lista larga. Aquí, los abogados con conocimiento de los casos concretos deben evaluar cuáles de ellos deben borrarse o anonimizarse. Puede que sea necesario establecer procesos internos que regulen cuánto tiempo después de la fecha límite puede retrasarse una supresión sin implicar a un socio en la decisión.
  3. Y luego llegamos a la supresión propiamente dicha. Aquí, la cuestión es: ¿quién tendrá autoridad para pulsar el botón de supresión? ¿Quién estará autorizado a borrar un caso? En este punto, creemos que debe estudiarse detenidamente si, por ejemplo, la supresión definitiva debe requerir la aprobación de un socio.

¿Quién puede ver qué?

La protección de datos también implica asegurar los datos contra su divulgación a personas no autorizadas. ¿Cómo nos aseguramos de que nadie en la empresa vea nada que no deba?

Por supuesto, la seguridad informática debe estar bajo control para que los piratas informáticos no puedan robar datos y venderlos o sacarlos del sistema y exigir un pago por su devolución, como se sabe que ha ocurrido. Desgraciadamente, podemos ver que hay un gran número de intentos fallidos de inicio de sesión en escritorios remotos con la solución Navokat, en los que el software funciona por ensayo y error para conseguir el acceso. Se trata de una amenaza que todo el mundo debería tomarse en serio.

Pero también en el frente interno debemos asegurarnos de que sólo el personal adecuado tenga acceso a los datos. ¿Deben todos los usuarios de la oficina tener acceso a todos los datos de todos los casos, o pueden idearse restricciones que cumplan los requisitos del GDPR sin entorpecer la actividad cotidiana?

Del mismo modo, se puede reflexionar sobre si el proveedor externo de TI debe tener acceso ilimitado a los datos en todo momento. Por supuesto, deben ser capaces de proporcionar asistencia y solucionar problemas informáticos, y en ese sentido puede tener sentido, por ejemplo, darles un acceso a los datos restringido en el tiempo, pero el proveedor informático no tiene por qué tener acceso libre todo el tiempo.

¿Quién ha accedido a qué?

Por supuesto, también es importante poder documentar cómo ha utilizado el individuo sus derechos de acceso. ¿Quién ha visto qué datos y cuándo?

Es importante disponer de este registro de acceso para poder documentar el cumplimiento de la protección de datos y responder satisfactoriamente a las solicitudes de acceso.

¿En qué punto del proceso GDPR se encuentra?

Hay mucho que morder si un bufete de abogados quiere ajustarse a todos y cada uno de los aspectos del GDPR. Otra cuestión controvertida es cuánto se puede esperar razonablemente que se ajuste si se trata de un bufete pequeño con pocos recursos y si la tecnología aún no puede ayudar realmente en todos los ámbitos.

Pero el primer paso es hacer balance para saber en qué punto se encuentra y, a continuación, planificar hasta dónde quiere llegar con sus ambiciones en el ámbito del RGPD.

Si necesita a alguien que le sirva de caja de resonancia sobre las cuestiones del GDPR en relación con los sistemas de gestión de casos, estaremos encantados de mantener una conversación sin que le cueste un céntimo. Siempre estamos dispuestos a debatir sobre uno de los temas que más preocupan actualmente a los abogados.