La responsabilidad de los datos personales al contratar servicios de legaltech
En Derecho Práctico lanzamos hoy nuestra sección Legal Tech-Mex, porque vemos a México como una constante fuente de valiosas novedades e iniciativas vinculadas al ecosistema legaltech, la gestión de despachos y asesorías jurídicas, la innovación legal y las habilidades necesarias para todo ello. A través de este espacio queremos divulgarlas fieles a nuestro estilo: aterrizar la transformación digital en el mundo jurídico, analizando casos reales, identificando los beneficios que puede proporcionar la tecnología legal y señalando sus riesgos. Y qué mejor estreno para esta iniciativa que este artículo de nuestra colaboradora en México, la abogada Grecia Navarro, experta en derecho tecnológico, que nos tendrá al día de todo lo que ocurre en territorio mexicano y su influencia en LatAm.
La fusión de tecnología con el sector legal ha evolucionado estos últimos años logrando que los abogados tengan la necesidad de innovar en su despacho jurídico con herramientas de legaltech: es importante informarse antes de su contratación y así valorar el servicio priorizando la protección de datos personales de sus clientes. En este artículo encontrarás información acerca de la figura del responsable, el rol del encargado y tips para tomar una decisión más acertada.
La legaltech está presente en la automatización de documentos, marketplaces donde se ofertan servicios legales, redes de abogados, smart contracts, inteligencia artificial, firmas electrónicas, base de datos jurídicas, ciberseguridad y privacidad, formación, servicios jurídicos y reclamaciones online, así como el software en gestión legal, (para más información consulta la Guía Legaltech 2022 – Derecho práctico). La implementación de estás herramientas dentro de las firmas legales facilitan el ejercicio de la abogacía de manera eficiente y perfeccionan su posicionamiento frente a su competencia.
Respecto a la figura del responsable el concepto se encuentra en el artículo 3 fracción XIV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares se define como: “La persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”. Cabe resaltar que dicho tratamiento abarca desde su obtención, divulgación, almacenamiento y su uso, este último comprende “cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición”.
Es importante informarse antes de la contratación de una legaltech y así valorar el servicio priorizando la protección de datos personales de sus clientes
En resumen de lo anterior, estos son los 3 puntos esenciales para identificarte como responsable:
- Ser del ámbito privado.
- No ubicarse dentro de las excepciones de los sujetos regulados por la LFPDPPP, mismos que señalan en su artículo 2: ser una sociedad de información crediticia o persona que haga un tratamiento de datos personales para su uso personal cuya finalidad no sea la divulgación, el lucro o la comercialización de estos.
- Realizar un tratamiento, puesto que la existencia de uno conlleva a que se pueda tomar decisiones sobre éste.
Ahora bien, hasta este punto has logrado reconocer ser responsable de los datos personales; sin embargo, ¿has considerado que tanto tú como el proveedor de la legaltech pueden ser responsables de la información? Esto llega a suceder cuando existe una transferencia la cual se define como toda comunicación de datos personales que se realiza a persona distinta del responsable o encargado (art. 3 fracc XIX LFPDPPP), misma que se dará cuando la empresa de legaltech destine diferentes finalidades al tratamiento de datos personales que se definió desde un principio. Un ejemplo es que contacten a tus clientes con fines de ventas, publicidad o mercadotecnia.
La Ley obliga informar al titular mediante el aviso de privacidad y a obtener el consentimiento, su incumplimiento puede dejar estragos, mencionando algunos de ellos:
- Mala imagen
- Perder la confianza de los clientes
- Incurrir en infracciones y ser susceptibles a sanciones establecidas en la LFPDPPP
- Responsabilidad en materia civil y penal
Para evitar la transferencia de la información se opta por el rol de encargado, ya que toda comunicación que realice el responsable al encargado se dará como una remisión de datos. El proveedor del servicio de legaltech se obligará a realizar dicho tratamiento por cuenta y a nombre del responsable (la firma legal) en consecuencia de su relación jurídica. Contrario a la transferencia no se necesita el consentimiento del titular, ni informarse en el aviso de privacidad.
La relación jurídica del responsable con el encargado se materializa por medio de un instrumento jurídico donde se establecerán las condiciones y deberes con base en el artículo 50 del Reglamento de la LFPDPPP:
- Tratar los datos personales conforme le instruya el responsable
- Abstenerse de hacer un tratamiento con finalidades distintas
- Implementar las medidas de seguridad físicas, administrativas y técnicas
- Guardar estricta confidencialidad
- La supresión de los datos personales una vez concluida la relación jurídica con el responsable, o por instrucción del responsable o previsión legal que exija la conservación de los datos personales.
- No realizar ninguna transferencia de datos (salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente)
Antes de la contratación de un servicio de legaltech deberás examinar estas recomendaciones para evitar sorpresas que pueden perjudicar tu firma legal: i) Leer previamente el aviso de privacidad del mismo modo los términos y condiciones; ii) Que realicen un tratamiento con apego a los principios de la responsabilidad, licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, así como los deberes de confidencialidad y seguridad establecidos en la LFPDPPP y su Reglamento; iii) Proporcionar mecanismos para el ejercicio de los Derechos ARCO de los clientes; iv) Conocer la jurisdicción o la legislación en caso de disputa; v) La comunicación en caso de incidente de seguridad de la información
En conclusión, el responsable es la firma legal y tiene que velar por los datos personales de sus clientes. Se tendrá que hacer un escáner completo del proveedor del servicio de la legaltech, tiene que realizarse una valoración en donde cumpla cabalmente con las disposiciones que indica la legislación mexicana.