Los abogados deben manejar los datos de los clientes de forma segura. Los datos deben estar disponibles en los lugares adecuados, en el momento oportuno, pero, por supuesto, también debemos cumplir el GDPR. Este artículo trata sobre los aspectos del cumplimiento del GDPR que deben tenerse en cuenta al utilizar tanto un sistema de gestión de casos como Outlook en el trabajo jurídico.

El reto más difícil: el correo electrónico

Empecemos por la parte en la que el GDPR suele causar más problemas a los abogados: el correo electrónico. La mayoría de los abogados escriben correos electrónicos en Outlook, y cuando empezamos a escribir “él” en el campo del destinatario, Outlook sugiere inmediatamente “Henrik”. La cuestión es si el Henrik que Outlook tiene en mente es el correcto.

Tener activado el autocompletado de destinatarios de correo electrónico es uno de los mayores riesgos cuando se trata del cumplimiento del GDPR. Sin duda, la mayoría de los abogados piensan que son solo los demás los que cometen errores, pero cualquiera puede caer en la trampa cuando las cosas están ajetreadas, y hemos visto una gran cantidad de correos electrónicos enviados a destinatarios equivocados por este motivo.

Evaluaciones individuales

El sistema de gestión de casos contiene una gran cantidad de datos que están regulados por el GDPR. Por supuesto, el sistema puede ayudar a cumplir el GDPR, pero sigue habiendo muchas decisiones que deben ser evaluadas por los abogados.

¿Cuándo un caso es obsoleto? ¿Y quién debe evaluar entonces si un caso obsoleto debe borrarse o simplemente anonimizarse?

Lo mismo ocurre con los clientes y los partidos. ¿Un cliente o parte obsoleto debe anonimizarse o eliminarse por completo? Depende de la situación.

¿Dónde se almacenan los datos personales sensibles?

Obviamente, existen datos personalmente sensibles sobre los casos, los clientes y las partes, y pueden estar en muchos lugares diferentes. Puede haber datos personalmente sensibles como un número de la seguridad social en la ficha del caso, o el caso puede estar registrado como relativo a una enfermedad concreta o a cualquier otra cosa de naturaleza personalmente sensible.

Pero, ¿dónde más se almacenan los datos personales sensibles?

¿Qué ocurre con los antiguos empleados? Esta es un área que exige especialmente el anonimato, porque puede haber registros de tiempos muy antiguos que serán requeridos como documentación en un momento posterior.

Los propios registros de tiempo, y las entradas publicadas, pueden decir algo como “recogida de la nota del médico re diagnóstico de enfermedad mental”. Eso también es personalmente sensible.

Luego están todos los datos almacenados fuera del sistema de casos y ERP, como todos los documentos almacenados en una solución documental (por ejemplo, SharePoint) o en un archivo compartido. Naturalmente, los documentos contendrán muchos datos personales.

Tampoco es seguro que sólo se trate de documentos susceptibles de búsqueda. Puede haber archivos de audio o grabaciones de vídeo de las vistas de los casos, por ejemplo. Estos son más difíciles de buscar por nombre o datos personales. Y qué decir de los archivos adjuntos a los correos electrónicos: ¿cómo pueden capturarse?

La eliminación tiene consecuencias

Cuando se empieza a anonimizar y borrar datos en la práctica, surgen una serie de retos.

Nosotros mismos hemos incorporado funciones GDPR en nuestro sistema de gestión de casos, Navokat. El objetivo es, por supuesto, proporcionar a los abogados toda la ayuda posible para anonimizar y borrar los datos, pero todas las decisiones requieren evaluaciones individuales, por lo que, lamentablemente, dista mucho de ser un proceso que pueda llevarse a cabo de forma automatizada.

Hemos incorporado una lógica en el sistema que le permite sugerir casos que deberían eliminarse. Lo hace en función de determinados criterios que usted mismo establece. A continuación, el abogado puede examinar las sugerencias y elegir lo que desea suprimir. Por ejemplo, puede pedir a la solución que le proponga casos archivados hace más de X años.

Por desgracia, ya hemos sabido de algún cliente que confió demasiado en las sugerencias del sistema y acabó borrando casos que, de hecho, no debería haber borrado. Y ahora los datos han desaparecido. Han desaparecido por completo, porque, si existiera una función de “deshacer”, no estaríamos cumpliendo con el GDPR.

Cuando decide eliminar un caso, no sólo se van la ficha del caso y el diario. También pueden ser los clientes, las partes y todos los documentos asociados al caso. Esto incluye los registros de tiempo, los asientos contables… todo lo que hay en el vientre del sistema ERP.

Borrar un caso es una decisión de peso. Es obligatorio según el GDPR, pero debe asegurarse de que comprende las consecuencias al tomar su decisión.

Hemos incorporado las funciones GDPR a nuestro sistema de gestión de datos personales, Navokat. El objetivo principal de este sistema es proporcionar a los usuarios la información más completa posible sobre el anonimato y el tratamiento de sus datos personales, ya que todos los procesos son automatizados.

Vi har indbygget en logik i systemet, så der kan dannes forslag til sager, der bør slettes. Det sker med udgangspunkt i nogle kriterier man selv opsætter. Så kan advokaten kigge forslagene igennem og vælge at slette. Du kan fx bede løsningen om at foreslå sager, som er ældre end x år efter arkiveringsdato.

Vi har desværre allerede oplevet, at en kunde stolede for meget på systemets forslag og kom til at slette sager, der faktisk ikke skulle slettes. Og så er data væk. De er helt væk, for hvis der var en “fortryd”-funktion, så ville vi jo ikke opfylde GDPR.

Når du vælger, at en sag skal slettes, så er det ikke bare sagskortet og journalen. Se trata, entre otras cosas, de los lectores, los interlocutores y todos los documentos que se utilizan para hablar. Se trata de registradores de datos, de registradores de documentos… todo esto está incluido en el sistema ERP.

Det er en omfattende beslutning at slette en sag. Den er krævet i henhold til GDPR, men man skal være sikker på, at man forstår konsekvenserne, når man træffer sin beslutning.

Nogle sager skal anonymiseres – ikke slettes

Det vigtigste parameter er grundlæggende tid. Når sager er så gamle, at vi ikke længere har et formål med at gemme dem, så skal de slettes. Nogle advokater fortolker det som 10 år, andre siger 5 år. Der er faktisk forskellige holdninger, men tid er altid det vigtigste kriterium.

Men det er jo ikke alt, der skal slettes. Si tiene una buena base para analizar los datos, entonces puede hacerlo. En god grund kan fx være, at sagen har principielt karakter, orler har pressens eller myndigheders opmærksomhed.

La mayoría de los usuarios son naturalmente anónimos, pero en algunos casos pueden serlo.

Det bliver igen en vurderingssag, om det har principiel betydning, at et specifikt navn fremgår af sagen, eller om navnet kan anonymiseres. Se trata de un problema que su empresa de TI no puede resolver.

Udfordringen med anonymisering bliver desværre værre endnu.

Hvis vi skal anonymisere Peter Petersen, som er vidne i en sag, så kan vi godt søge efter hans navn. Nogle steder står der kun P. Petersen eller Hr. Petersen. Og på side 37 i et dokument står der “ejeren af cykelbutikken”, hvilket alle naturligvis ved er Peter Petersen, fordi det er en lille by, og der er kun én cykelbutik. Den omtale skal også anonymiseres.

Det er svært at få et IT-system til at genkende, at “ejeren af cykelbutikken” henviser til Peter Petersen, så det er igen en opgave, hvor det er svært at få hjælp fra teknologien. Teknologien skal ikke alene genkende “ejeren af cykelbutikken” som en henvisning til en person – den skal også vurdere om det er formålsvigtigt for den konkrete omtale at vide, at det handler om cykelhandleren. Det kræver enten noget seriøst kunstig intelligens – eller mange timers manuelt læsearbejde.

¿En qué consiste este sistema informático?

Der er 4 trin for hvordan dine IT-systemer kan hjælpe dig med at slette og anonymisere:

  1. Det første trin er, at systemet kommer med forslag til sager, som du skal evalere.
  2. La otra razón es que el sistema puede proporcionarle información sobre los productos, incluidos carteles y documentos, que desee enviar.
  3. El objetivo principal es que el sistema pueda garantizar el anonimato de los usuarios que lo deseen. Se trata de un sistema de anonimato de bajo coste.
  4. Det endegyldige trin er, at systemet via kunstig intelligens kan finde alle de udtryk, som er personfølsomme, som i eksemplet med “ejeren af cykelbutikken”.

Todos los sistemas están en las bandejas 1 y 2. Vi kan slet ikke nævne nogen, der er på trin 4 eller har udsigt til det. Men selv om systemerne kunne dække pkt. 1-4, es importante que los asesores de los usuarios tengan en cuenta el cumplimiento de la normativa GDPR.

Indsigtsbegæring

Nu har vi talt nok om at slette og anonymisere. Et andet emne, som kan give advokatkontorerne en stor arbejdsbyrde, er indsigtsbegæringer.

Alle kan henvende sig og bede om at få at vide, hvad vi ved om dem. Og så tager vi en medarbejder ud af produktionen, som sidder og bladrer igennem dokumenter for at finde de steder, hvor pågældende person er omtalt. Det virker helt uoverskueligt for et almindeligt advokatkontor, hvis der kommer mange af den slags indsigtsbegæringer. Det har vi også brug for systemmæssig hjælp til.

Udfordringen er principielt den samme som med anonymisering. Vi skal kunne finde data i alle afkroge af sager og dokumenter. Den IT-mæssige udfordring er den samme, og teknologisk er den svær at løse.

¿Hvem må egentlig gøre hvad?

Der er mange del-opgaver inden for dette område, og spørgsmålet er, hvem der egentlig må gøre hvad i din organisation? Når du får en slette-knap til rådighed, så nytter det ikke, at alle kan komme til at trykke på den, og så er data bare pist borte.

  1. La primera opción es la identificación. Se trata de producir una lista exhaustiva de las fuentes y los datos que más se necesitan. Se trata de una opción que los usuarios de sistemas informáticos de alto nivel pueden utilizar, y está bien que los empleados de la empresa se adhieran a la lista de datos confidenciales.
  2. Den næste opgave er vurdering af bruttolisten. Her må advokaterne med indsigt i den enkelte sag vurdere, hvilke sager der skal slettes og anonymiseres. Der skal måske være interne processer for, hvor lang tid over deadline, man må trække en sletning, uden at involvere en partner i beslutningen.
  3. Og så kommer vi til selve sletningen. Esto es un problema: ¿Qué quiere decir con esto? ¿Quién ha recibido el mandato de crear una empresa? Her mener vi, det bør overvejes nøje, om det fx skal være en partner, der kan godkende den endegyldige sletning.

Hvem må se hvad?

Databeskyttelsen handler også om at sikre data mod at blive delt med uvedkommende. ¿Cómo puede saber si una persona que no es miembro de la comunidad está dispuesta a aceptarlo?

Der skal naturligvis være styr på IT-sikkerheden, så hackere ikke kan snuppe data og sælge eller fjerne det fra systemet og kræve betaling for at lægge det ind igen, som man har set eksempler på. Vi kan desværre se, at der er rigtig mange forgæves loginforsøg på fjernskrivebord med Navokat-løsningen, hvor programmer står og prøver sig frem for at skaffe sig adgang. Se trata de un enlace que todos pueden utilizar.

Men på de interne fronter skal vi også helt enkelt sørge for, at kun de rette medarbejdere har adgang til data. ¿Es posible que todas las empresas del sector tengan acceso a los datos en todas las direcciones, o es posible que se estén aplicando las disposiciones del GDPR para evitarlo?

På samme måde kan man overveje, om den eksterne IT-leverandør til enhver tid skal have ubegrænset adgang til data. De skal naturligvis kunne yde support og afhjælpe IT-problemer, og i den forbindelse kan det give mening fx at give tidsbegrænset adgang til data, men IT-leverandøren skal ikke nødvendigvis have fri adgang hele tiden.

¿Hvem har haft adgang til hvad?

Det er naturligvis også vigtigt at kunne dokumentere, hvordan den enkelte person har anvendt sine rettigheder. ¿Quién ha obtenido los datos?

Es importante disponer de este registro para poder documentarse, para que las bases de datos estén actualizadas y para poder acceder a ellas desde cualquier lugar.

¿Por qué ha entrado en el proceso GDPR?

Det er en stor mundfuld, hvis man som advokatkontor skal leve op til hvert et hjørne af GDPR. Det er også et omdiskuteret spørgsmål, hvor meget man med rimelighed kan forventes at leve op til, hvis man er et mindre kontor med få ressourcer, og teknologien faktisk ikke kan hjælpe på alle områder endnu.

Men det første skridt er at gøre status, så du ved hvor langt du er, og så lægge en plan for, hvor store ambitioner du ønsker at have inden for GDPR.

Hvis du har behov for at sparre med nogen om GDPR inden for sagsbehandlingssystemer, så står vi meget gerne til rådighed for en samtale, uden at det skal koste dig en krone. Vi er altid friske på en debat om et af de emner, der fylder rigtig meget for advokater for tiden.