Anonimización en despachos de abogados: guía para cumplir el RGPD sin comprometer el secreto profesional

Un despacho de abogados es una de las organizaciones con mayor concentración de datos personales de categoría especial por metro cuadrado: salud, afiliación sindical, orientación sexual, antecedentes penales, datos patrimoniales. La combinación de secreto profesional y RGPD impone a los despachos obligaciones reforzadas, pero también posibilita un argumento fuerte: cuando los datos están correctamente anonimizados, muchas fricciones jurídicas desaparecen. Esta guía explica cuándo y cómo anonimizar en despachos de abogados.

Qué datos maneja un despacho medio

Un despacho típico mueve a diario:

• Expedientes de clientes con toda la información personal, patrimonial y familiar.
• Escritos procesales donde se detallan hechos, documentos probatorios y datos de terceros.
• Sentencias y resoluciones de todos los órdenes jurisdiccionales.
• Contratos, testamentos y negocios jurídicos de clientes y terceros.
• Comunicaciones con la contraparte y sus representantes.
• Peritajes, informes médicos, informes financieros aportados como prueba.
• Datos de empleados propios y opositores, si el despacho se dedica a laboral o recursos humanos.

A la particularidad propia del RGPD se suma el deber de secreto profesional regulado en el Código Deontológico del Consejo General de la Abogacía Española y en el art. 542 LOPJ, que obliga al abogado a guardar secreto de todos los hechos y noticias de los que conozca por razón de su profesión.

Cuándo es imprescindible anonimizar en un despacho

Varias situaciones recurrentes exigen anonimización real:

1. Publicación de sentencias y resoluciones en la web del despacho

Muchos despachos publican sus éxitos judiciales para marketing. Si se sube una sentencia con los datos del cliente, aunque sea para mostrar una victoria judicial, se está tratando dato personal sin base legal.

Regla: solo deben publicarse sentencias anonimizadas, eliminando no sólo los nombres sino también los datos contextuales que permitan reidentificar (localidad pequeña, fecha concreta, empresa concreta).

2. Compartir un caso con un colega para consulta

La consulta con compañeros es legítima, pero si se envía un expediente completo por email o WhatsApp con todos los datos personales, se está haciendo una cesión sin base legal.

Regla: consultar casos con colegas requiere anonimización previa del expediente salvo que exista relación de encargo o co-defensa documentada.

3. Formación y ponencias

Usar casos reales en formación interna, ponencias o publicaciones es una práctica extendida y útil. Pero los casos deben quedar completamente anonimizados.

Regla: quien dé una charla profesional con casos reales debe asegurarse de que ningún asistente (y menos un buscador de internet) pueda reidentificar al cliente cruzando datos.

4. Remisión de expedientes a peritos o testigos

El perito médico, financiero o técnico no suele necesitar todos los datos personales del cliente para emitir su informe. La remisión sin depurar es una cesión de datos cuestionable.

Regla: al enviar un expediente a un perito, debe contener sólo los datos necesarios para su función. Los datos familiares, financieros tangenciales o personales no pertinentes deben anonimizarse.

5. Archivo de casos cerrados

Cuando un caso se cierra, el despacho tiene obligaciones de conservación (prescripción de responsabilidad, plazos profesionales), pero también de minimización. Conservar indefinidamente con datos en claro es excesivo.

Regla: tras el cierre del asunto, valorar si el expediente debe archivarse con todos los datos (por razón de responsabilidad profesional, 10 años desde la última actuación) o si procede anonimización para uso estadístico o de jurisprudencia interna.

6. Difusión a la contraparte o terceros

En procedimientos con múltiples partes (reclamaciones colectivas, mediación, arbitraje), los documentos que contienen datos de terceros no directamente implicados deben anonimizarse antes de su traslado.

Tipos de datos que deben anonimizarse en escritos y sentencias

Un escrito procesal o una sentencia contiene muchos niveles de datos identificables:

Identificadores directos de partes y representantes

• Nombres y apellidos
• DNI, NIE, pasaporte
• Domicilio
• Número de colegiado del abogado y procurador

Identificadores de terceros mencionados

• Testigos
• Peritos
• Familiares del cliente o de la contraparte
• Empleados, compañeros de trabajo, vecinos

Identificadores contextuales

• Localidad exacta de los hechos
• Fecha exacta de los hechos
• Empresa empleadora
• Centro médico
• Matrícula de vehículos
• Número de póliza, cuenta bancaria

Datos especialmente sensibles

• Diagnósticos médicos
• Detalles de violencia, abuso, discriminación
• Orientación sexual
• Afiliación sindical o política
• Antecedentes penales

La anonimización de una sentencia para publicación en la web del despacho requiere atender todos estos niveles.

Criterios jurisprudenciales sobre anonimización en el sector legal

La AEPD y los tribunales han ido consolidando criterios específicos:

• Sentencias publicadas en CENDOJ: el Centro de Documentación Judicial del CGPJ aplica anonimización automática, pero ha habido casos de reidentificación por contexto, sobre todo en órganos pequeños o temas singulares. Los despachos no deben confiar únicamente en la anonimización automática de origen.
• Publicación en páginas de despachos: debe aplicarse anonimización propia; usar la versión de CENDOJ no exime de responsabilidad si se reidentifica a partir de datos contextuales que el despacho añade.
• Búsquedas y consultas IA: si un despacho sube expedientes a un sistema de IA (tipo ChatGPT, Claude) para análisis, debe anonimizar previamente salvo que el proveedor cumpla encargo de tratamiento RGPD con datos en la UE.
• Cesión a peritos: la AEPD ha sancionado cesiones completas de historiales médicos a peritos cuando bastaba con informes anonimizados más preguntas concretas.

Flujo de trabajo recomendado para un despacho

1. Política interna escrita sobre qué se anonimiza y cuándo, aprobada por el socio responsable o el DPO del despacho.
2. Plantillas anonimizadas para los usos recurrentes (marketing, formación, consultas).
3. Herramienta automatizada que procese sentencias y escritos antes de salir del despacho para cualquier uso distinto del proceso judicial.
4. Formación a todo el equipo —abogados, becarios, administración— sobre qué es anonimización real y qué no.
5. Registro de anonimizaciones para demostrar diligencia ante una reclamación.

Interacción con el secreto profesional

El secreto profesional del abogado es más estricto que el RGPD: obliga a guardar secreto incluso cuando el RGPD permitiría comunicar datos (p. ej., requerimientos administrativos). El marco combinado genera reglas prácticas:

• El secreto profesional no impide anonimizar; al contrario, la anonimización es la mejor forma de reutilizar información (jurisprudencia interna, formación) sin vulnerar el secreto.
• Anonimizar un documento no libera del deber de secreto sobre los hechos: el abogado no puede relatar un caso anónimo si los hechos son tan singulares que permiten reidentificar al cliente.
• Las excepciones al secreto (requerimientos judiciales, Ley 10/2010 de blanqueo) no eximen del RGPD: el dato cedido al juzgado sigue siendo personal y su tratamiento debe documentarse.

Preguntas frecuentes

¿Puedo publicar sentencias que gané en mi web para marketing?

Sí, pero completamente anonimizadas. No basta con sustituir “Juan Pérez” por “J.P.”; debe eliminarse cualquier dato contextual que permita identificar (localidad pequeña, empresa concreta, fecha exacta, cuantía singular).

¿Tengo que anonimizar los escritos que envío al juzgado?

No. La presentación ante un órgano judicial está amparada por base legal procesal; lo que debe anonimizarse es la difusión posterior a otros fines (web, formación, consulta).

¿Debo usar encargo de tratamiento con los peritos a los que envío expedientes?

Sí, siempre que les envíes datos personales para su servicio profesional. El encargo de tratamiento documenta quién es responsable y quién encargado, y es exigible por la AEPD en una inspección.

¿Puedo usar ChatGPT u otros LLMs para analizar escritos de un cliente?

Solo si anonimizas previamente el escrito o si el proveedor firma contrato de encargo RGPD con servidores en la UE (OpenAI con Enterprise, Anthropic con Trust Center, Google Vertex en EU). La versión gratuita o consumer de estos servicios no permite enviar datos personales de clientes sin infringir el RGPD.

¿Cuánto tiempo debo conservar los expedientes de mis clientes?

Al menos 10 años desde la última actuación, por la prescripción de la responsabilidad civil profesional y por el art. 30 del Código Deontológico. Más allá, considera anonimización para uso estadístico interno.

Conclusión

La anonimización en despachos de abogados no es una carga adicional: es una herramienta que permite reutilizar el conocimiento acumulado (jurisprudencia interna, formación, marketing) sin violar el secreto profesional ni el RGPD. Los despachos que profesionalizan su flujo de anonimización reducen riesgos, publican con confianza y trabajan mejor con colaboradores externos.

Si gestionas un despacho o trabajas en una asesoría jurídica, prueba anonimiza.do para automatizar la anonimización de sentencias, escritos y expedientes. Reconoce los identificadores propios del sistema español y genera log auditable del procedimiento.