Protección de Datos

RGPD para despachos de abogados: guía 2026

Guía RGPD para despachos de abogados: secreto profesional frente a derechos ARCO, expedientes judiciales, conservación tras el cierre y cuándo necesita DPO.

También disponible en:Français·Deutsch

En una frase. Un despacho de abogados trata datos especialmente sensibles (expedientes, contrarios, testigos, datos del art. 9) amparados por el secreto profesional, que actúa como límite frente a los derechos de terceros; debe llevar registro de tratamientos, firmar contratos con sus proveedores y valorar si necesita DPO por el volumen de datos que maneja.

Un despacho es una fábrica de datos personales de riesgo: nombres de clientes y de contrarios, situación económica, salud, antecedentes, vida familiar. El secreto profesional no exime del RGPD; lo modula. Esta guía aterriza las obligaciones de un despacho español y los puntos que revisa la AEPD.

Puntos clave

  • El secreto profesional del abogado es un límite al derecho de acceso de terceros, pero no exime de las obligaciones del RGPD.
  • El despacho es responsable del tratamiento de los datos de sus clientes y de los contrarios que constan en los expedientes.
  • Los expedientes contienen habitualmente datos del art. 9 (salud, ideología, condenas), lo que eleva las exigencias.
  • Debe firmar un contrato de encargado con LexNET no aplica, pero sí con proveedores cloud, gestoría y software de gestión.
  • El DPO no es automático, pero conviene valorarlo por el tratamiento a gran escala de datos sensibles.

1. Base de legitimación y secreto profesional

El despacho no trata los datos del cliente por consentimiento, sino por la ejecución del contrato de arrendamiento de servicios y el cumplimiento de obligaciones legales. Los datos de terceros (la parte contraria, testigos) se tratan al amparo del interés legítimo del cliente en su defensa y del ejercicio del derecho de defensa, un interés legítimo cualificado.

El secreto profesional, regulado en el Estatuto General de la Abogacía y en el art. 542.3 LOPJ, funciona como límite frente a las solicitudes de acceso de la parte contraria: un tercero no puede usar el derecho de acceso para obtener la estrategia procesal o la documentación reservada de un asunto. La AEPD ha reconocido esta protección en varias resoluciones. Aun así, el propio cliente sí puede ejercer sus derechos sobre sus datos.

2. Tratamientos típicos y sus riesgos

Tratamiento Riesgo Medida
Expedientes de clientes Datos del art. 9, gran volumen Control de acceso, cifrado
Datos de contrarios y testigos Base de legitimación Documentar interés legítimo/defensa
LexNET y comunicaciones judiciales Confidencialidad Uso restringido, trazabilidad
Software de gestión y cloud Encargado del tratamiento Contrato art. 28 + ubicación datos
Facturación y provisión de fondos Blanqueo (Ley 10/2010) Conservación 10 años

El abogado está sujeto a la normativa de prevención de blanqueo en determinadas operaciones (art. 2.1.ñ Ley 10/2010), lo que obliga a conservar cierta documentación 10 años, un plazo que debe reflejarse en la tabla de plazos de conservación.

3. Proveedores y encargados

El software de gestión del despacho, el proveedor de correo, el hosting, la gestoría contable y el servicio de destrucción documental son encargados del tratamiento. Con cada uno hace falta un contrato del art. 28 que garantice confidencialidad y medidas de seguridad. Si el proveedor cloud aloja datos fuera del EEE, hay que cubrir las transferencias internacionales con las garantías adecuadas. Esta relación de encargo se distingue claramente en la guía sobre responsable y encargado del tratamiento.

4. Conservación tras el cierre del asunto

Terminado el asunto, el despacho no borra el expediente de inmediato: debe conservarlo bloqueado durante los plazos de prescripción de sus posibles responsabilidades profesionales (la acción de responsabilidad civil prescribe con carácter general a los 5 años, art. 1964 CC) y los plazos de blanqueo y fiscales cuando apliquen. La conservación debe ser proporcionada y documentada, en línea con la limitación del plazo de conservación.

5. Seguridad y confidencialidad del expediente

La confidencialidad no es solo un deber deontológico: el RGPD la convierte en una obligación de seguridad exigible (art. 32). En un despacho, eso se traduce en medidas concretas: control de acceso por usuario para que cada abogado vea solo los asuntos que lleva, cifrado de los portátiles y de los soportes extraíbles, copias de seguridad y una política clara sobre el uso del correo y de la mensajería para comunicaciones con clientes. El uso de servicios de mensajería personales o de nubes de consumo para compartir documentación de asuntos es una fuente habitual de exposición.

Los expedientes en papel merecen la misma atención: archivadores con llave, control de quién accede y destrucción segura al término del plazo de conservación. La AEPD ha sancionado a profesionales por abandonar documentación con datos personales en la vía pública o en contenedores accesibles. Un incidente que exponga datos de clientes obliga, además, a valorar la notificación de la brecha a la AEPD en 72 horas y, si el riesgo es alto, la comunicación a los afectados, algo especialmente delicado cuando lo comprometido es la estrategia procesal de un asunto.

6. ¿Necesita DPO el despacho?

El art. 37 RGPD exige DPO cuando las actividades principales consisten en el tratamiento a gran escala de datos del art. 9. Un despacho mediano o grande, o especializado en penal, laboral o familia, trata sistemáticamente datos sensibles y debe valorar seriamente la designación; los pequeños suelen quedar por debajo del umbral, pero deben documentar la decisión. La guía sobre cuándo es obligatorio el DPO en España detalla el análisis.

Ordenar todo esto —registro, contratos, plazos, control de acceso— es donde los despachos pierden más tiempo. Una plataforma como Legiscope centraliza el registro de tratamientos y los contratos de encargado para un sector que factura por horas y no puede dedicarlas a cumplimiento manual. Para el marco general, consulte la web de la AEPD y el texto del RGPD en EUR-Lex. Puede completar con la guía de RGPD para asesorías y gestorías, de estructura similar.

Véase también, para sectores con obligaciones de protección de datos similares: RGPD para notarías, RGPD para administradores de fincas y RGPD para corredurías de seguros.

FAQ

¿El secreto profesional exime a los abogados del RGPD?

No. El secreto profesional es un límite frente a las solicitudes de acceso de terceros y refuerza la confidencialidad, pero el despacho sigue siendo responsable del tratamiento y debe cumplir el RGPD: registro, seguridad, información y contratos con encargados.

¿Necesita un despacho de abogados un delegado de protección de datos?

No de forma automática. Es obligatorio si trata datos del art. 9 a gran escala como actividad principal (art. 37 RGPD). Los despachos medianos o grandes y los especializados en materias con datos sensibles deben valorarlo seriamente; los pequeños deben documentar por qué concluyen que no es obligatorio.

¿Cuánto tiempo debe conservar un despacho los expedientes cerrados?

El tiempo necesario para atender responsabilidades profesionales y legales: bloqueados durante los plazos de prescripción (con carácter general 5 años para la responsabilidad civil) y hasta 10 años cuando aplique la normativa de prevención de blanqueo. Después deben suprimirse.

¿Puede la parte contraria pedir acceso a los datos del expediente?

Puede ejercer el derecho de acceso sobre sus propios datos personales, pero el secreto profesional y el derecho de defensa protegen la estrategia y la documentación reservada del asunto, que el despacho puede negarse a facilitar de forma motivada.

¿Puede un despacho usar servicios cloud de fuera de la UE?

Puede, siempre que cubra la transferencia con las garantías del capítulo V del RGPD (cláusulas contractuales tipo o Marco de Privacidad de Datos UE-EE. UU.) y realice el análisis de impacto de la transferencia tras Schrems II. Dada la sensibilidad de los expedientes, muchos despachos priorizan proveedores con alojamiento en la UE.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →