Un importante estudio de abogados se encuentra llevando diversos casos: El área penal se encuentra defendiendo al gerente general de una multinacional que ha sido acusado de violar a su secretaria en su centro laboral; el área laboral está llevando el caso de un trabajador que alega que fue despedido por su origen racial; el área civil se encuentra trabajando en el divorcio de uno de sus clientes luego de describir que su pareja le fue infiel; el área de arbitraje está elaborando una demanda contra una clínica por mala praxis médica y; el área de protección al consumidor se encuentra asesorando a un colegio que ha tenido un caso de cyberbullying.

Tal como se puede apreciar, los abogados, en el ejercicio de su profesión, suelen tratar datos personales y un tratamiento indebido puede afectar la intimidad, honor, dignidad y libertad de sus clientes. Por consiguiente, tanto los abogados independientes como los estudios de abogados deben cumplir con lo dispuesto por la Ley de Protección de Datos Personales:

1. Deben inscribir sus Bancos de Datos Personales ante la Autoridad Nacional de Protección de Datos Personales: Dependiendo de la organización, se deberán inscribir los Bancos de Datos Personales de “Clientes”, “Posibles Clientes”, “Abogados”, “Trabajadores”, “Postulantes”, “Cámaras de Videovigilancia”, etc.

2. Informar a sus clientes acerca del tratamiento de sus datos personales: Los clientes deben ser informados antes del inicio de la relación contractual en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre quién es el responsable del tratamiento, las finalidades para las que se utilizarán los datos personales, el banco de datos personales en que se almacenarán, el tiempo de conservación, las transferencias tanto nacionales como internacionales, si hay transferencia internacional de los mismos y cómo pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición.

3. Recabar el consentimiento de los clientes para fines distintos al de la relación contractual: En el supuesto que se utilicen los datos personales de los clientes para enviarles publicidad, utilizar sus imágenes para subirlas a las redes sociales o realizar un análisis de perfiles, se deberá contar con el consentimiento del titular de datos personales.

4. Implementar mecanismos para que los clientes puedan ejercer sus derechos ARCO: Se deberá tener formularios tanto a nivel físico como virtual para que los clientes puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición. Se deberá contar con una breve explicación detallando cómo llenar correctamente el formulario, la información que se necesita y los plazos de atención.

5. Implementar mecanismos de seguridad: A nivel legal, se deberán celebrar compromisos de confidencialidad y de protección de datos personales con los abogados, trabajadores, proveedores y, en general, todo aquel que vaya a tratar los datos personales. A nivel organizativo, se deberán elaborar políticas de protección de datos personales, tales como protocolos de control de acceso y gestión de privilegios; políticas frente a brechas de seguridad; políticas de respaldo de información; protocolos de transferencia de información; políticas de eliminación de información, entre otras. A nivel técnico, se deberán contar con los mecanismos que garanticen la disponibilidad, integridad y confidencialidad de los datos personales.

6. Comunicar la transferencia de flujo transfronterizo: En el supuesto que los datos personales se transfieran al exterior, ya sea a la matriz o a un proveedor de servicios que se encuentre fuera del territorio nacional, se deberá comunicar esta transferencia a la Autoridad Nacional de Protección de Datos Personales.

Es importante resaltar que, en la última década, el Derecho ha ido evolucionado y nuevas tecnologías se han incorporado en la práctica legal.  Esto es lo que se conoce como “LegalTech”, concepto que viene de la unión de las palabras en inglés legal y technology. En un inicio, este término era relacionado con aquellos desarrollos tecnológicos creados para facilitar las tareas y procesos en el sector legal. Sin embargo, este concepto ha ido evolucionando y ahora engloba también a todos aquellos emprendimientos que surgen en el sector legal y tienen por finalidad innovar en la prestación de servicios legales a través del uso tecnología. En términos simples, “LegalTech” significa el uso de la tecnología en el sector legal, ya sea como una herramienta que pueda utilizar un abogado o como una solución disruptiva en aras de proveer servicios jurídicos.

No cabe duda de que el uso de las nuevas tecnologías en la práctica legal impacta en la protección de datos personales. Un estudio de abogados, en su calidad de responsable de tratamiento, deberá verificar que la tecnología que utilice para prestar sus servicios legales cumpla con la normativa de protección de datos personales. Veamos cómo es que la tecnología en el sector legal puede impactar en la protección de datos personales:

1. Aplicaciones de mensajería.- Es común que los abogados a fin de mantener una comunicación fluida con sus clientes utilicen WhatsApp. Se recomienda tanto a los estudios de abogados como a los abogados independientes que utilicen WhastApp Business, que es la versión empresarial de la conocida aplicación. WhatsApp Business cuenta con una API (Application Programming Interface) que permite implementar diferentes funciones tales como programar un mensaje con la política de privacidad que informe a los clientes sobre el tratamiento de datos personales. Inclusive, si se utiliza este canal de comunicación como un medio para un primer contacto, se puede programar para obtener el consentimiento de los usuarios antes de comenzar a interactuar con ellos, lo cual es muy importante porque de lo contrario sería considerado como un método comercial agresivo.

2. Chatbots Legales.- Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de información o que lleve a cabo una acción. En otras palabras, es capaz de emular a los seres humanos, respondiendo a distintas personas en plataformas de chat. El sector legal ha comenzado a implementar esta tecnología para atender a los clientes. Sin embargo, a través de esta pueden recopilar información de carácter sensible. Es por ello que se recomienda que antes de iniciar con la conservación, el cliente acepte la política de privacidad. Además, a fin de respetar el principio de proporcionalidad, el estudio deberá revisar sus registros y ver qué tipo de información ha sido almacenada en el “Backend” del software y eliminar aquella información que sea excesiva o haya dejado de ser necesaria.

El Chatbot debe ser diseñado bajo el principio de “privacy by design”,que  busca que la funcionalidad de las nuevas tecnologías respete la protección de los datos personales de sus usuarios. En ese sentido, el Chatbot deberá encriptar la información que se recopile con el objetivo de garantizar la disponibilidad, integridad y confidencialidad de los datos personales. Además, deberá estar programado para que los usuarios puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) en el mismo chat.

3. Gestión Documental.- Actualmente existen distintos softwares de gestión documental que facilitan la vida a los abogados. Sin embargo, debemos ver si es que éstas cumplen con las medidas de seguridad necesarias para evitar la pérdida, sustracción, modificación de los datos personales que se pueden encontrar en contratos, cartas, actas, demandas, escritos legales, etc. Para ello es indispensable que el software cuente con mecanismos de trazabilidad de los documentos, que emitan avisos o notificaciones de seguridad en caso una persona no autorizada abra un documento o en caso una persona autorizada lo haga por una ubicación no permitida. También deberá avisar si un documento es enviado fuera de los servidores de la empresa. En otras palabras, se deben implementar todos los mecanismos de “Data Loss Prevention” -DLP- (Sistema de prevención de pérdida de datos).

 Una solución DLP tiene como finalidad prevenir las fugas de información cuyo origen está dentro de la propia organización, de una manera activa y sin perder productividad. Estas herramientas suelen incorporar inteligencia artificial que les permite aprender sobre el tipo de documentos confidenciales que se utilizan y qué acciones llevan a cabo los usuarios sobre los mismos, para volverse cada vez más efectivas en la prevención de fugas de información. Los DLP monitorizan la red de la organización para evitar las fugas de información antes de que se lleguen a producir. Una vez que detectan una posible fuga, alertan al usuario para que sea consciente de que la acción que está realizando atenta contra la confidencialidad de la empresa o contra una política de seguridad que vela por ella.

4. Big Data e Inteligencia Artificial.- El Big Data es el conjunto de tecnologías que permiten tratar cantidades masivas de datos personales provenientes de distintas fuentes a través del uso de algoritmos, con el objetivo de poder otorgarles una utilidad que proporcione valor. Es decir, el Big Data permite procesar datos cuyo tamaño (volumen), complejidad (variabilidad) y velocidad de crecimiento (velocidad) dificultan su captura, gestión, procesamiento o análisis por parte de tecnologías y herramientas convencionales. La inteligencia artificial (IA), por su parte, es la capacidad de una máquina para realizar funciones cognitivas que asociamos a la mente humana, como percibir, razonar, aprender, interactuar con el entorno y resolver problemas. Para que esta funcione, debe estar “nutrida” de información. Cuánto más información, más efectiva será la IA. Es por ello que se dice que el Big Data hace que la IA deje de ser ciencia ficción, pues esta forma de procesar datos masivamente está logrando que la IA cada vez se parezca más a cómo piensa el cerebro humano.

 En el sector legal se utilizarán estas tecnologías para realizar análisis de perfiles y automatizar las decisiones en relación a los clientes, demandados, denunciados, etc. Un ejemplo claro es el programa COMPAS (Correctional Offender Management Profiling for Alternative Sanctions, por su acrónimo en inglés, que en español puede traducirse como Administración de Perfiles de Criminales para Sanciones Alternativas del Sistema de Prisiones de Estados Unidos). Este programa es básicamente un cuestionario que se le da a las personas que han sido arrestadas. Las preguntas incluyen aspectos como los antecedentes penales tanto del reo como de sus familiares, su domicilio, datos relativos a su centro de trabajo y sus datos académicos. Asimismo, también hay preguntas que buscan crear un “perfil” y determinar si la persona tiene o no un “pensamiento criminal”. En otras palabras, las respuestas son analizadas por estos sistemas de IA y terminan concluyendo si esa persona, en el futuro, podría cometer un crimen. Entonces aparece un valor promedio de riesgo que decide si alguien puede salir bajo fianza, si debe ser enviado a prisión o si debe recibir otro castigo. Cuando la persona ya está encarcelada, el algoritmo determina si merece el beneficio de la libertad condicional.

La elaboración de perfiles y las decisiones automatizadas[1] pueden plantear riesgos importantes para los derechos y libertades de las personas que requieren unas garantías adecuadas.  Estos procesos pueden ser opacos. Puede que las personas no sean conscientes de que se está creando un perfil sobre ellas o que no entiendan lo que implica. La elaboración de perfiles puede perpetuar los estereotipos existentes y la segregación social. Asimismo, puede encasillar a una persona en una categoría específica y limitarla a las preferencias que se le sugieren.

Es por ello que, en el sector legal sólo se podrán utilizar decisiones automatizadas cuando estas sean necesaria (es decir, que no existe otra manera de lograr el mismo objetivo) para la ejecución de un contrato, exista una norma legal que autorice este tratamiento o se haya dado un consentimiento explícito.

Por otro lado, el Legaltech puede servir justamente como herramienta para dar cumplimiento a la normativa de protección de datos personales. A modo de ejemplo, en Barcelona, una startup llamada ‘Reclamadatos’ acaba de desarrollar una herramienta online gratuita que permite a las personas identificar qué empresas tienen sus datos y exigirles que cesen de usarlos en un plazo de 30 días. Asimismo, aparecen actores “RegTech” – concepto que hace referencia a la unión de las palabras Regulatory Technology – que implica la utilización de la tecnología para el cumplimiento de la regulación en materia de protección de datos personales.

A modo de conclusión, la rápida evolución tecnológica plantea nuevos retos para la protección de los datos personales y el sector legal no es ajeno a ello. La magnitud del levantamiento y del intercambio de datos personales aumentará de manera significativa en la industria jurídica, por lo que es recomendable que los estudios de abogados implementen tecnologías que cumplan desde el diseño con proteger los datos personales de sus clientes.

Referencias:

[1]     Las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano.

Imagen extraída de: