Skip to content
Gradion
Revisar un caso concreto
|Cumplimiento normativo

Protección de datos en despachos: guía práctica 2026

Ivor Padilla

por Ivor Padilla

Cofundador · Director de Ingeniería

Protección de datos en despachos: guía práctica 2026

Protección de datos en despachos: guía práctica 2026

La protección de datos en un despacho no es el apartado de una web ni el PDF que firmó un consultor externo en 2018. Es el expediente vivo que un socio tiene que poder abrir mañana si llama la Agencia Española de Protección de Datos (AEPD), si un cliente pide todo lo que tiene el despacho sobre él o si alguien descubre que un portátil con expedientes lleva dos días desaparecido. Y la mayoría de los despachos con los que trabajamos creen estar al día cuando en realidad están trabajando con un registro de actividades que describe la realidad del despacho de hace cuatro años, no la de hoy.

Este post es el mapa completo. Qué normativa te aplica cuando eres un despacho de abogados (y no una empresa cualquiera), qué obligaciones no son negociables, cuándo necesitas un Delegado de Protección de Datos (DPO), qué tienes que firmar con tus proveedores antes de mover un dato, cómo responder a un derecho de acceso sin paralizar el despacho y qué pasa en las 72 horas siguientes a una brecha de seguridad. Con enlaces a las normas en el BOE y a los recursos oficiales de la AEPD para que puedas consultar las fuentes tú mismo.

TL;DR — Protección de datos en un despacho se reduce a seis obligaciones irrenunciables: (1) elegir una base legal del art. 6 RGPD antes de cada tratamiento y documentarla; (2) mantener el registro de actividades del tratamiento (art. 30 RGPD) vivo y actualizado; (3) firmar contrato de encargado del tratamiento (DPA) con cada proveedor que toque datos de clientes (art. 28 RGPD); (4) aplicar medidas de seguridad proporcionadas al riesgo (art. 32 RGPD); (5) notificar brechas a la AEPD en 72 horas y, cuando el riesgo sea alto, también al interesado (arts. 33-34 RGPD); y (6) atender los derechos ARCO-POL del cliente en un mes (arts. 12 a 22 RGPD). El secreto profesional del abogado se superpone a todo eso sin anularlo.

Qué cambia la "protección de datos" cuando eres un despacho (y no una empresa cualquiera)

Un despacho de abogados trata datos de clientes en condiciones muy específicas que ninguna tienda online ni empresa de servicios ordinaria tiene. Por un lado, el secreto profesional está recogido en el propio Estatuto de la profesión como deber y derecho —no es una política interna—. Por otro, los expedientes suelen contener categorías especiales del art. 9 RGPD (datos de salud, opiniones políticas, datos biométricos, origen racial) y, en muchos casos, datos relativos a condenas e infracciones penales del art. 10 RGPD. Eso sube el listón de cumplimiento con respecto al caso estándar.

Un despacho de abogados no es una empresa cualquiera a efectos de protección de datos. El art. 21 del Estatuto General de la Abogacía Española, aprobado por Real Decreto 135/2021 de 2 de marzo, consagra —en línea con la Ley Orgánica 6/1985 del Poder Judicial— el deber y el derecho de secreto profesional del abogado: "la confianza y confidencialidad en las relaciones con el cliente imponen al profesional de la Abogacía […] el deber y el derecho de guardar secreto de todos los hechos o noticias que conozca por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligado a declarar sobre ellos". En la práctica, el secreto profesional se superpone a la legislación de protección de datos y, en los casos en que haya conflicto aparente, funciona como un plus de confidencialidad, no como una excusa para incumplir el RGPD.

El art. 22 del Estatuto General de la Abogacía define el ámbito objetivo del secreto profesional con mucha amplitud: comprende "todos los hechos, comunicaciones, datos, informaciones, documentos y propuestas" que el profesional de la Abogacía haya conocido, emitido o recibido en ejercicio profesional. Eso es deliberadamente extenso y es importante entenderlo correctamente en el contexto del RGPD: el contenido de los expedientes y de las comunicaciones con el cliente está amparado por el secreto profesional y no se comunica al notificar una brecha a la AEPD. La notificación describe la naturaleza y el alcance de la brecha, no el objeto concreto de los expedientes.

La consecuencia práctica: en un despacho, hablar de protección de datos sin hablar del secreto profesional es un ejercicio inútil. Los dos marcos van juntos. Y la buena noticia es que en la gran mayoría de los casos no entran en conflicto —refuerzan las mismas conductas—. La mala es que, cuando sí parece haber tensión, la salida exige pensar con cuidado, no echar mano de plantillas genéricas de otro sector.

El marco normativo aplicable a un despacho es más corto de lo que parece y hay que conocerlo de memoria. Son tres piezas con jerarquía clara: el Reglamento europeo (RGPD), la ley orgánica española que lo desarrolla (LOPD-GDD), y la normativa sectorial del abogado —Estatuto General de la Abogacía, Código deontológico del Consejo General de la Abogacía Española y la Ley Orgánica del Poder Judicial cuando corresponda—. Encima de eso se aplican recomendaciones y guías de la AEPD, que no son norma pero que un inspector citará si te visita.

El RGPD (Reglamento (UE) 2016/679) es la norma europea directamente aplicable. Marca los principios (art. 5), las bases legales (art. 6), los derechos del interesado (arts. 15-22), las obligaciones del responsable y del encargado (arts. 24-30), la seguridad del tratamiento (art. 32), la gestión de brechas (arts. 33-34), la figura del DPO (arts. 37-39) y el régimen sancionador general (art. 83). Es el núcleo.

La LOPD-GDD (Ley Orgánica 3/2018) complementa el RGPD con especialidades nacionales: lista española de sectores obligados a designar DPO (art. 34), régimen sancionador propio (título IX, arts. 70 a 78), reconocimiento de los derechos digitales (título X) y otras peculiaridades relevantes para el sector público y para categorías concretas de responsables.

Y encima de las dos anteriores, como hilo conductor específico del sector, tienes el Estatuto General de la Abogacía Española (RD 135/2021), el Código deontológico de la Abogacía, y la dimensión del secreto profesional tal y como la recoge la Ley Orgánica 6/1985 del Poder Judicial (a la que el propio Estatuto remite expresamente en su art. 21.1). No son "protección de datos" en sentido estricto, pero se leen juntos con el RGPD siempre que el responsable del tratamiento sea un despacho.

Las 6 obligaciones básicas que tiene cualquier despacho

Destilando las tres piezas del marco anterior, las obligaciones aterrizan en seis bloques concretos. Son las que un inspector mirará primero si visita tu despacho mañana y las que tienes que tener operativas desde el primer día de un nuevo cliente.

El art. 6 del RGPD es la lista cerrada de bases legales posibles: consentimiento, ejecución de un contrato, obligación legal, interés vital, misión de interés público e interés legítimo. Antes de meter un solo dato personal en un flujo —sea automatizado, sea manual, sea el correo del despacho—, tienes que saber a cuál de estas seis te estás acogiendo. Y tenerla documentada. Si la base elegida es interés legítimo, además tienes que haber hecho la ponderación entre tu interés y el del cliente y guardada por escrito: es el supuesto que más dudas genera y el que antes pedirá un inspector.

Para la mayoría de los tratamientos habituales de un despacho, la base legal es ejecución del contrato (la hoja de encargo que firma el cliente al abrir el expediente) y, en paralelo, obligación legal para todo lo que tenga que ver con facturación, retención documental y cumplimiento fiscal. El consentimiento, pese a lo que cree el mercado, se usa poco en un despacho profesional —sólo para envíos comerciales a antiguos clientes o para comunicaciones que no derivan directamente del encargo—.

2. Registro de actividades del tratamiento (vivo)

El art. 30 del RGPD obliga a cada responsable a llevar un registro de actividades del tratamiento con un contenido mínimo tasado: datos de contacto del responsable y del DPO si lo hay, fines del tratamiento, descripción de las categorías de interesados y de las categorías de datos personales, destinatarios a los que se comunican los datos, transferencias internacionales si las hubiera, plazos previstos para la supresión, y una descripción general de las medidas técnicas y organizativas de seguridad. En un despacho, este registro no es un PDF firmado una vez y archivado. Es el mapa vivo de todo lo que ocurre con los datos en el despacho: cuando entra un software nuevo, cuando cambia el proveedor de correo, cuando se incorpora un becario que tiene acceso a expedientes, cuando se automatiza algo, ese registro se actualiza. Si no se actualiza, a los seis meses ya no describe la realidad del despacho.

3. Información al cliente y principios del art. 5

El art. 5 del Reglamento General de Protección de Datos fija los seis principios que cualquier tratamiento —incluido el que hace tu despacho con el expediente de un cliente— tiene que cumplir: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. Y añade un séptimo que atraviesa los demás: la responsabilidad proactiva, es decir, la obligación del responsable de poder demostrar por escrito que los está cumpliendo. No basta con cumplirlos: hay que poder enseñarle al inspector los papeles que lo prueban.

El principio de transparencia es el que más se olvida en el sector. Los arts. 13 y 14 del RGPD obligan a informar al interesado de quién trata sus datos, con qué finalidad, qué base legal, durante cuánto tiempo, a quién se comunicarán, si hay transferencias internacionales, cuáles son sus derechos y cómo ejercerlos. Esa información suele ir en la hoja de encargo o en una cláusula anexa a ella. Si en tu despacho la hoja de encargo no incluye una cláusula de información, estás incumpliendo un artículo que cualquier inspector mirará en el primer minuto.

4. Contratos con encargados del tratamiento

Cada vez que tu despacho contrata a un tercero para que maneje datos personales de clientes —el proveedor del software de gestión, el servicio de correo corporativo, la plataforma de firma electrónica, el antivirus en la nube, el proveedor de IA del borrador jurídico—, ese tercero es un encargado del tratamiento a efectos del art. 28 del RGPD. Y el art. 28.3 exige que la relación esté regida por un contrato u otro acto jurídico que "vincule al encargado respecto del responsable" y deje claro, por escrito, el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las categorías de interesados y las obligaciones y derechos del responsable. En la jerga del sector se llama DPA (Data Processing Agreement), o contrato de encargado. Sin ese papel firmado, el tratamiento es ilegal. No es una cuestión de buena fe.

Dedicamos una sección entera a este punto más abajo, porque es la parte del cumplimiento donde más despachos nos hemos encontrado con sorpresas desagradables: proveedores con los que se llevan años trabajando y para los que nadie en el despacho sabe dónde está el DPA firmado. En la guía sobre RGPD y automatización con IA entramos en más detalle en qué debe contener un DPA cuando el proveedor es de IA.

5. Seguridad técnica y organizativa proporcional al riesgo

El art. 32 del RGPD no te dice "usa X producto" ni "cifra con AES-256". Te dice que apliques medidas apropiadas al riesgo, y lista las cuatro que casi siempre deberían estar presentes: seudonimización o cifrado de los datos personales, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, capacidad de restaurar el acceso rápidamente tras un incidente, y un proceso de verificación y evaluación regular de las medidas. Traducido al despacho: cifrado del disco de los portátiles y del servidor, copias de seguridad con plan de restauración probado (no sólo existente), control de acceso por roles con contraseñas razonables y segundo factor, y una revisión anual de que todo eso sigue funcionando. El artículo no prescribe tecnología; prescribe resultado.

6. Notificación de brechas en 72 horas

La sexta obligación —gestión de brechas— la tratamos en su propia sección más abajo porque es la que más dudas operativas genera el día que ocurre un incidente.

¿Necesitas un Delegado de Protección de Datos (DPO)?

La respuesta corta: la mayoría de los despachos pequeños y medianos no tienen obligación legal de designar DPO, pero muchos lo hacen voluntariamente por prudencia y porque tener un interlocutor único frente a la AEPD sale a cuenta. La larga es la que importa, porque el diablo está en dos artículos muy concretos: el art. 37.1 del RGPD y el art. 34 de la LOPD-GDD.

El art. 37.1 del RGPD establece tres supuestos en los que el responsable o el encargado están obligados a designar un delegado de protección de datos: (a) cuando el tratamiento lo lleve a cabo una autoridad u organismo público (con la excepción de los tribunales en su función jurisdiccional); (b) cuando las actividades principales del responsable consistan en observación habitual y sistemática de interesados a gran escala; o (c) cuando consistan en tratamiento a gran escala de categorías especiales (art. 9 RGPD: salud, origen racial, opiniones políticas, convicciones religiosas, datos biométricos…) o datos de condenas e infracciones penales (art. 10). La mayoría de los despachos no entran en ninguno de los tres por defecto. Un despacho penalista que trabaje habitualmente con datos de condenas, en cambio, sí puede caer en la letra (c).

El art. 34 de la LOPD-GDD (Ley Orgánica 3/2018) añade a los supuestos del art. 37.1 del RGPD una lista española de sectores obligados a designar DPO con carácter general: colegios profesionales y sus consejos generales, centros docentes, entidades de comunicaciones electrónicas que traten datos a gran escala, prestadores de servicios de la sociedad de la información que hagan profiling a gran escala, entidades de crédito, establecimientos financieros, aseguradoras y reaseguradoras, empresas de servicios de inversión, distribuidores y comercializadores de energía y gas, entidades responsables de ficheros comunes de solvencia, y otros pocos más. Los despachos de abogados no figuran en esa lista como tales. Aparecen los colegios de abogados (letra a) pero no los despachos individuales. Esto significa que un despacho, por el hecho de ser un despacho, no está obligado por ley a designar DPO. La obligación aparece sólo si encaja en uno de los tres supuestos del art. 37.1 RGPD (autoridad pública, observación habitual y sistemática a gran escala, tratamiento a gran escala de categorías especiales o datos de condenas).

El art. 36 de la LOPD-GDD refuerza la posición del DPO en tres puntos que conviene tener claros: (1) actuará como interlocutor del despacho ante la AEPD; (2) si es una persona integrada en la organización, no puede ser removido ni sancionado por desempeñar sus funciones salvo dolo o negligencia grave —es una garantía de independencia—; y (3) el DPO tendrá acceso a los datos y a los procesos de tratamiento sin que el responsable pueda oponerle ningún deber de confidencialidad o secreto. En la práctica, muchos despachos optan por un DPO externo precisamente para evitar la tensión que puede generar un DPO interno que investiga problemas del propio despacho.

El argumento práctico a favor de tener DPO aunque no sea obligatorio

Aunque la ley no te obligue, en los despachos medianos que manejan cierto volumen de expedientes con categorías especiales (laborales con datos de salud de trabajadores, matrimoniales con datos de custodia de menores, penalistas, de extranjería…) nuestra recomendación es sí, tener un DPO externo. Tres razones:

  1. Interlocución única frente a la AEPD. Cuando llega una reclamación, una consulta o una inspección, tener un canal documentado con un DPO nombrado evita respuestas improvisadas por distintos miembros del despacho.
  2. Validación documental independiente. El DPO revisa el registro de actividades, el inventario de encargados, los DPAs firmados, las medidas de seguridad y la documentación de bases legales. Es una auditoría barata y recurrente.
  3. Mitigación sancionadora. En un expediente sancionador, la existencia de un DPO designado y con trabajo documentado es uno de los factores atenuantes que la AEPD valora al graduar la multa dentro de las horquillas del art. 83 RGPD.

El coste de un DPO externo para un despacho pequeño o mediano es perfectamente asumible —se paga por tramo de horas—, y el ahorro que se obtiene en la primera reclamación que entra justifica el gasto.

Contratos con encargados del tratamiento: qué firmar antes de mover un dato

Esta es la sección donde más despachos se llevan sorpresas cuando la revisamos. La regla es simple: cada proveedor que toque datos de clientes necesita tener firmado un DPA con tu despacho antes de que el primer dato llegue a su sistema. Cada uno.

La lista típica en un despacho medio español, a fecha de 2026, incluye al menos:

  • Software de gestión del despacho (Aranzadi, Lefebvre Jurisoft, LeTech, SLI, gescodex…). Sí, aunque los datos estén físicamente en tu servidor, si el proveedor accede remotamente para soporte técnico, es encargado del tratamiento.
  • Correo electrónico corporativo (Microsoft 365, Google Workspace, Zoho, etc.). Casi siempre el DPA está disponible en la web del proveedor y hay que aceptarlo expresamente.
  • Almacenamiento en la nube (OneDrive, Dropbox Business, Google Drive, servidores cloud propios en Azure o AWS). Mismo régimen.
  • Copias de seguridad externalizadas.
  • Firma electrónica (Docusign, Validated ID, Signaturit…).
  • Plataforma de videoconferencia si se usa para reuniones con clientes (Zoom, Meet, Teams).
  • Antivirus y seguridad gestionada en cloud.
  • Herramientas de IA si se usan con datos reales de clientes (borradores jurídicos, resumen de sentencias, extracción de datos de contratos…). En la guía de AEPD e IA en despachos entramos a fondo en qué pide específicamente la Agencia para estos proveedores.
  • Gestoría externa o asesor fiscal si comparte con ellos nóminas o facturación del despacho.
  • Destrucción confidencial de documentos (la empresa que se lleva las papeleras trituradas).

Para cada uno, tiene que haber un DPA firmado (o aceptación expresa de las cláusulas estándar del proveedor, que a efectos legales es lo mismo), y la fecha de firma tiene que constar en el registro de actividades del tratamiento. Si encuentras un proveedor en tu despacho sin DPA, tienes dos tareas: firmar uno ya, y anotar en el registro que el tratamiento ha estado ocurriendo sin contrato durante X tiempo. Esto último es incómodo pero obligatorio: ocultarlo convierte una infracción menor en una más grave el día que se descubre.

Derechos del interesado (ARCO-POL): cómo responder en plazo sin paralizar el despacho

Los artículos 15 a 22 del RGPD reconocen al interesado un paquete de derechos que, en el sector de protección de datos, se resume con el acrónimo ARCO-POL: acceso (art. 15), rectificación (art. 16), cancelación o supresión (art. 17, el famoso "derecho al olvido"), oposición (art. 21), portabilidad (art. 20) y limitación del tratamiento (art. 18). A ellos se suma el derecho del art. 22 a no ser objeto de una decisión basada únicamente en tratamiento automatizado cuando tenga efectos jurídicos o le afecte significativamente. El art. 12.3 del RGPD fija el plazo general de respuesta en un mes desde la recepción de la solicitud, prorrogable a dos meses más cuando la complejidad o el número de solicitudes lo justifique —siempre informando al interesado del motivo de la prórroga dentro del primer mes—. En la práctica: el reloj corre desde que llega el correo, no desde que alguien en el despacho lo lee.

En un despacho, lo más frecuente es recibir solicitudes de acceso ("quiero saber qué datos tienes sobre mí"), de supresión ("quiero que borres todo lo relacionado conmigo") o de rectificación ("este dato es incorrecto, corrígelo"). Para cada una conviene tener un protocolo interno que especifique:

  • Quién recibe la solicitud. Normalmente un correo centralizado del despacho (por ejemplo, dpd@turazón.es) gestionado por un único responsable o por el DPO si lo hay.
  • Cómo se verifica la identidad del solicitante. El despacho no puede dar datos de un cliente a quien los pide sin confirmar que es efectivamente el cliente. DNI escaneado, videollamada, firma electrónica o personación en el despacho son opciones válidas.
  • Qué extensión tiene la respuesta. El derecho de acceso incluye una copia de los datos objeto de tratamiento, no necesariamente los documentos originales íntegros en los que aparecen. Cuidado con esto, porque una entrega indiscriminada de expedientes puede entrar en colisión con el secreto profesional sobre datos de terceros (la parte contraria, por ejemplo).
  • En cuánto tiempo se contesta. Objetivo interno: una semana. Margen legal: un mes desde la recepción. Prórroga excepcional: dos meses más, informando dentro del primer mes.
  • Gratis salvo excepción. Las solicitudes son gratuitas salvo que sean "manifiestamente infundadas o excesivas", en cuyo caso el responsable puede cobrar una tasa razonable o negarse motivadamente. No uses esta excepción como norma —es sólo para los casos abusivos reales—.

Brechas de seguridad: las 72 horas que nadie quiere estrenar

Cuando hay un incidente que afecta a datos personales —desde un portátil robado hasta un acceso no autorizado a un expediente o una copia perdida de un cliente—, el art. 33.1 del RGPD obliga al responsable a notificarlo a la AEPD "sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de él". Si no se notifica en 72 horas, la notificación tiene que ir acompañada de los motivos del retraso. La única excepción que permite no notificar es cuando sea improbable que la brecha entrañe un riesgo para los derechos y libertades de los afectados, una excepción que hay que motivar por escrito y que, en un despacho de abogados, es casi siempre difícil de sostener (los datos suelen incluir categorías muy sensibles).

Notificar a la AEPD no es siempre suficiente. El art. 34 del RGPD añade un segundo escalón: cuando la brecha entrañe un alto riesgo para los derechos y libertades de las personas afectadas, el responsable también tiene que comunicársela directamente al interesado, sin dilación indebida. En un despacho, eso significa contactar al cliente y explicarle en un lenguaje claro qué ha pasado, qué datos se han visto afectados y qué medidas puede tomar para protegerse. Es incómodo y se aplaza por prudencia comercial; pero el cálculo cambia cuando la alternativa es que el cliente se entere por un tercero (o por una noticia) y presente una reclamación.

El protocolo que conviene tener listo antes de que ocurra la brecha

Estas son las seis cosas que tienen que estar decididas antes de que pase nada:

  1. Quién se entera. El punto único de contacto interno para incidencias de seguridad. Si hay DPO, es el DPO. Si no, es un socio identificado.
  2. Cómo se evalúa el riesgo. Una plantilla simple con criterios: volumen de afectados, categorías de datos expuestas, probabilidad de uso malicioso, reversibilidad de la brecha. La AEPD tiene una guía sobre cómo hacer esa valoración.
  3. Quién redacta la notificación a la AEPD. Modelo pre-redactado que se rellena con los datos del incidente. La AEPD tiene un formulario en su sede electrónica.
  4. Quién comunica al cliente. Guion pre-redactado, adaptado a cada caso. Nunca por correo masivo ni por carta estándar: llamada personal o correo individualizado.
  5. Cómo se separa "contenido" de "naturaleza de la brecha". Esta es la clave de la convivencia con el secreto profesional: describes qué ha pasado y a quién afecta, no el contenido sustantivo de los expedientes. El inspector no necesita leer los expedientes para evaluar la brecha.
  6. Cómo se documenta todo el proceso. Cada decisión queda registrada con fecha y responsable, incluso las que se decide no notificar por caer en la excepción del art. 33.1 in fine.

El protocolo tiene dos usos: el evidente, cuando ocurre una brecha. Y el menos evidente, cuando un inspector pregunta "enséñame vuestro protocolo de brechas". Si existe y está actualizado, la conversación es muy distinta.

Preguntas frecuentes sobre protección de datos en despachos

¿Mi despacho tiene que tener un DPO obligatoriamente?

La mayoría de los despachos no, si se rigen sólo por la letra del art. 37.1 RGPD y del art. 34 LOPD-GDD (los despachos de abogados no figuran como tales en la lista española). Pero si tu despacho trata datos de salud, datos de condenas, datos biométricos o datos de menores a gran escala, puedes caer en la letra (c) del art. 37.1 RGPD y sí ser obligatorio. Y aunque no lo sea, es recomendable designar un DPO externo por las razones operativas que explicamos más arriba.

¿Qué documentos tengo que tener encima de la mesa si la AEPD me inspecciona mañana?

Cinco como mínimo: (1) registro de actividades del tratamiento actualizado; (2) cláusula de información al cliente (en la hoja de encargo o anexa); (3) contratos de encargado del tratamiento firmados con cada proveedor; (4) política de seguridad con medidas técnicas y organizativas documentadas, incluido el plan de copias de seguridad con evidencia de la última restauración probada; (5) protocolo de gestión de brechas y derechos del interesado. Si tienes DPO, añade el documento de designación y el último informe del DPO. El post sobre qué exige la AEPD en inspecciones entra en más detalle sobre qué miran específicamente cuando hay IA en el flujo.

¿Tengo que firmar un contrato con mi proveedor de software de gestión? ¿Y con el del correo?

Sí a ambos. Cualquier proveedor que acceda a datos personales de tus clientes —aunque sólo sea en soporte técnico— es encargado del tratamiento en el sentido del art. 28 RGPD y necesita DPA firmado antes de que empiece a procesar nada. Para los grandes proveedores (Microsoft 365, Google Workspace, los principales del sector legal) el DPA está disponible en su portal de cumplimiento y se acepta online; lo importante es que tú conserves la evidencia de haberlo aceptado con fecha, por si un día tienes que demostrarlo.

Un cliente me pide todo lo que tengo sobre él. ¿Estoy obligado a dárselo? ¿En cuánto tiempo?

Sí. El art. 15 RGPD reconoce el derecho de acceso del interesado a sus propios datos, y el art. 12.3 fija el plazo en un mes, prorrogable a dos. Lo que debes entregar es una copia de los datos que trates sobre él, no necesariamente los documentos íntegros del expediente (porque éstos pueden contener datos de terceros amparados por el secreto profesional). En la práctica se prepara una comunicación estructurada: finalidad del tratamiento, categorías de datos, origen, destinatarios, plazo de conservación y el contenido concreto de los datos del cliente.

Tenemos una sospecha de que alguien ha accedido a un expediente sin autorización. ¿Qué hago?

Activa el protocolo de brechas inmediatamente. Primero contén el incidente: cambia contraseñas, revoca accesos, aísla el sistema afectado. Segundo documenta lo que ha pasado con fecha, hora y personas que lo descubrieron. Tercero evalúa el riesgo para los derechos del interesado con tu plantilla. Cuarto, si el riesgo no es improbable, prepara la notificación a la AEPD dentro del plazo de 72 horas desde el momento en que el despacho tuvo constancia del incidente. Quinto, si el riesgo es alto, comunica al cliente afectado. El reloj empieza cuando alguien del despacho tiene constancia del incidente, no cuando el socio lo ve.

¿Puedo usar ChatGPT, Copilot o similares con datos de mis clientes?

Depende de varias cosas y merece un post propio. En resumen: necesitas base legal para meter los datos en un proveedor de IA (normalmente interés legítimo o ejecución de contrato con ponderación previa), DPA firmado con el proveedor, confirmación de que los datos se tratan dentro de la UE o con garantías adecuadas de transferencia, aislamiento de tu tenant, configuración que impida el entrenamiento del modelo con tus datos, y registro en tu registro de actividades. En la guía de RGPD y automatización con IA en despachos entramos en los 5 principios del RGPD aplicados a este escenario concreto.

¿Qué sanción real me puede caer?

El art. 83 del RGPD estructura las sanciones en dos tramos. Tramo bajo (art. 83.4): hasta 10 millones de euros o hasta el 2 % del volumen de negocio total anual mundial del ejercicio anterior, la cuantía que sea mayor. Tramo alto (art. 83.5): hasta 20 millones de euros o hasta el 4 % del mismo volumen de negocio, la cuantía que sea mayor. Hay que leer esas cifras recordando que son máximos teóricos: la mayoría de las sanciones reales a despachos pequeños y medianos se mueven en cifras mucho menores, pero el criterio sancionador se modula en función del perjuicio, la intencionalidad, la cooperación con la Agencia y las medidas adoptadas después del incidente. Es decir: el mismo error puede costar 3.000 euros o 60.000 dependiendo de qué hagas en los 30 días siguientes.

El título IX de la LOPD-GDD (arts. 70 a 78) completa el régimen sancionador del RGPD en España. Clasifica las infracciones en muy graves (art. 72, prescriben a los 3 años), graves (art. 73, prescriben a los 2 años) y leves (art. 74, prescriben al año), remitiendo a las horquillas del art. 83 RGPD para las cuantías máximas. Entre las conductas muy graves listadas expresamente figuran, por ejemplo, tratar datos personales vulnerando los principios del art. 5 RGPD o sin una base legal del art. 6. Para un despacho, esto es un recordatorio de que un error de base legal no es anecdótico a efectos sancionadores: puede ser una infracción muy grave, no una leve.

Cómo lo estamos resolviendo en Gradion

El registro de actividades del tratamiento es el documento más importante y el que más frecuentemente encontramos desactualizado en los despachos con los que trabajamos. No porque no exista —casi todos tienen el que les preparó un consultor externo en 2018 o 2019 cuando entró en vigor la LOPD-GDD—, sino porque ese registro, tal cual, ya no describe la realidad operativa del despacho en 2026. El software de gestión ha cambiado al menos una vez, la firma electrónica pasó a un proveedor distinto, el correo corporativo ahora va por Microsoft 365 o Google Workspace con copia en un servidor que antes no existía, y algún becario ha metido una herramienta de IA en el flujo de resúmenes jurídicos sin decírselo a nadie. Mientras tanto, el registro sigue diciendo lo que decía en 2019.

Cuando la AEPD inspecciona un despacho, la primera pregunta es "enséñame el registro de actividades del tratamiento". Y la segunda es "¿cuándo es la última vez que lo actualizaste?". Las dos respuestas importan. En los despachos con los que hemos trabajado hasta la fecha, el registro de actividades es el documento que con más frecuencia está desactualizado: no porque no exista, sino porque se hizo una vez hace años y nadie ha vuelto a tocarlo cuando se ha cambiado de software, de proveedor de cloud o de flujo interno.

Nosotros tratamos el registro de actividades como un archivo vivo que se actualiza cada vez que tocamos el flujo del despacho, no como un PDF que se firma y se archiva. Cada piloto de 10 días que entregamos incluye la actualización del registro correspondiente a los tratamientos afectados, firmada con la fecha del cambio. Y cuando la automatización implica un proveedor nuevo —una API de IA, un servicio cloud, una plataforma de firma—, nos aseguramos de que el DPA está firmado antes del primer dato real que pasa por el sistema. No después.

Esto convierte al registro en una herramienta operativa, no en un trámite. Y tiene un efecto secundario interesante: cuando el socio del despacho vuelve a abrir el registro en la siguiente revisión anual, se encuentra un documento que describe su despacho tal y como es hoy, no tal y como era hace cuatro años. Es el primer cambio que nota la mayoría de los despachos que trabajan con nosotros, y el que más tranquilidad da. Gabriel Naranjo, co-fundador de Gradion y Microsoft Certified Trainer en cloud y seguridad, dirige esta disciplina desde el primer stand-up de cada piloto: cada tratamiento que sale de Gradion tiene su registro vivo antes de pasar a producción.

¿Tu equipo pierde 15 horas a la semana en papeleo?

Nosotros te lo resolvemos en 10 días, con un piloto a precio fijo. Entregamos cada piloto con el registro de actividades del tratamiento actualizado y firmado.

Cuéntanos tu caso →

Este post forma parte de nuestra serie sobre protección de datos en despachos. Si quieres profundizar en ángulos específicos, lee cómo aplicar los cinco principios del RGPD cuando automatizas con IA y qué exige la AEPD cuando automatizas en tu despacho.

Más artículos

RGPD y automatización con IA: qué hacer en tu despacho
Cumplimiento normativo

RGPD y automatización con IA: qué hacer en tu despacho

RGPD y automatización con IA: qué hacer en tu despacho Si tu despacho procesa contratos, facturas, nóminas, expedientes notariales o cualquier documento con datos personales de clientes (y en 2026 prácticamente todos lo hacen), el RGPD es el marco normativo con el que juegas cada vez que alguien menciona la palabra automatización o inteligencia artificial. Y también es la razón por la que muchos socios de despacho han dicho "ni hablar" a la IA en los últimos dos años. Lo que vamos a ver aquí e

Firma electrónica: cuándo vale, cuándo no y cómo integrarla
Firma Digital

Firma electrónica: cuándo vale, cuándo no y cómo integrarla

Firma electrónica: cuándo vale legalmente, cuándo no, y cómo integrarla en el expediente Si tu despacho ya usa firma electrónica pero aún te preguntas si "va a colar en el juzgado" o por qué el registro de la propiedad la devuelve, este post es para ti. La firma electrónica no falla porque la tecnología sea deficiente. Falla porque el nivel elegido no encaja con el supuesto legal, o porque el paquete de firma salió incompleto. Aquí te explico los tres niveles del marco eIDAS en lenguaje de des