Anonimització en despatxos d'advocats: guia per complir el RGPD sense comprometre el secret professional

Un despatx d’advocats és una de les organitzacions amb major concentració de dades personals de categoria especial per metre quadrat: salut, afiliació sindical, orientació sexual, antecedents penals, dades patrimonials. La combinació de secret professional i RGPD imposa als despatxos obligacions reforçades, però també possibilita un argument fort: quan les dades estan correctament anonimitzades, moltes friccions jurídiques desapareixen. Aquesta guia explica quan i com anonimitzar en despatxos d’advocats.

Quines dades maneja un despatx mitjà

Un despatx típic mou diàriament:

• Expedients de clients amb tota la informació personal, patrimonial i familiar.
• Escrits processals on es detallen fets, documents probatoris i dades de tercers.
• Sentències i resolucions de tots els ordres jurisdiccionals.
• Contractes, testaments i negocis jurídics de clients i tercers.
• Comunicacions amb la contrapart i els seus representants.
• Peritatges, informes mèdics, informes financers aportats com a prova.
• Dades d’empleats propis i opositors, si el despatx es dedica a laboral o recursos humans.

A la particularitat pròpia del RGPD se suma el deure de secret professional regulat en el Codi Deontològic del Consell General de l’Advocacia Espanyola i en l’art. 542 LOPJ, que obliga l’advocat a guardar secret de tots els fets i notícies que conegui per raó de la seva professió.

Quan és imprescindible anonimitzar en un despatx

Diverses situacions recurrents exigeixen anonimització real:

1. Publicació de sentències i resolucions al web del despatx

Molts despatxos publiquen els seus èxits judicials per a màrqueting. Si es puja una sentència amb les dades del client, encara que sigui per mostrar una victòria judicial, s’està tractant dada personal sense base legal.

Regla: només s’han de publicar sentències anonimitzades, eliminant no només els noms sinó també les dades contextuals que permetin reidentificar (localitat petita, data concreta, empresa concreta).

2. Compartir un cas amb un company per a consulta

La consulta amb companys és legítima, però si s’envia un expedient complet per email o WhatsApp amb totes les dades personals, s’està fent una cessió sense base legal.

Regla: consultar casos amb companys requereix anonimització prèvia de l’expedient llevat que existeixi relació d’encàrrec o codefensa documentada.

3. Formació i ponències

Utilitzar casos reals en formació interna, ponències o publicacions és una pràctica estesa i útil. Però els casos han de quedar completament anonimitzats.

Regla: qui doni una xerrada professional amb casos reals s’ha d’assegurar que cap assistent (i menys un cercador d’internet) pugui reidentificar el client encreuant dades.

4. Remissió d’expedients a perits o testimonis

El perit mèdic, financer o tècnic no sol necessitar totes les dades personals del client per emetre el seu informe. La remissió sense depurar és una cessió de dades qüestionable.

Regla: en enviar un expedient a un perit, ha de contenir només les dades necessàries per a la seva funció. Les dades familiars, financeres tangencials o personals no pertinents s’han d’anonimitzar.

5. Arxiu de casos tancats

Quan un cas es tanca, el despatx té obligacions de conservació (prescripció de responsabilitat, terminis professionals), però també de minimització. Conservar indefinidament amb dades en clar és excessiu.

Regla: després del tancament de l’assumpte, valorar si l’expedient s’ha d’arxivar amb totes les dades (per raó de responsabilitat professional, 10 anys des de l’última actuació) o si procedeix anonimització per a ús estadístic o de jurisprudència interna.

6. Difusió a la contrapart o tercers

En procediments amb múltiples parts (reclamacions col·lectives, mediació, arbitratge), els documents que contenen dades de tercers no directament implicats s’han d’anonimitzar abans del seu trasllat.

Tipus de dades que s’han d’anonimitzar en escrits i sentències

Un escrit processal o una sentència conté molts nivells de dades identificables:

Identificadors directes de parts i representants

• Noms i cognoms
• DNI, NIE, passaport
• Domicili
• Número de col·legiat de l’advocat i procurador

Identificadors de tercers esmentats

• Testimonis
• Perits
• Familiars del client o de la contrapart
• Empleats, companys de feina, veïns

Identificadors contextuals

• Localitat exacta dels fets
• Data exacta dels fets
• Empresa ocupadora
• Centre mèdic
• Matrícula de vehicles
• Número de pòlissa, compte bancari

Dades especialment sensibles

• Diagnòstics mèdics
• Detalls de violència, abús, discriminació
• Orientació sexual
• Afiliació sindical o política
• Antecedents penals

L’anonimització d’una sentència per a publicació al web del despatx requereix atendre tots aquests nivells.

Criteris jurisprudencials sobre anonimització en el sector legal

L’AEPD i els tribunals han anat consolidant criteris específics:

• Sentències publicades a CENDOJ: el Centre de Documentació Judicial del CGPJ aplica anonimització automàtica, però hi ha hagut casos de reidentificació per context, sobretot en òrgans petits o temes singulars. Els despatxos no han de confiar únicament en l’anonimització automàtica d’origen.
• Publicació en pàgines de despatxos: s’ha d’aplicar anonimització pròpia; utilitzar la versió de CENDOJ no eximeix de responsabilitat si es reidentifica a partir de dades contextuals que el despatx afegeix.
• Cerques i consultes IA: si un despatx puja expedients a un sistema d’IA (tipus ChatGPT, Claude) per a anàlisi, ha d’anonimitzar prèviament llevat que el proveïdor compleixi encàrrec de tractament RGPD amb dades a la UE.
• Cessió a perits: l’AEPD ha sancionat cessions completes d’historials mèdics a perits quan n’hi havia prou amb informes anonimitzats més preguntes concretes.

Flux de treball recomanat per a un despatx

1. Política interna escrita sobre què s’anonimitza i quan, aprovada pel soci responsable o el DPO del despatx.
2. Plantilles anonimitzades per als usos recurrents (màrqueting, formació, consultes).
3. Eina automatitzada que processi sentències i escrits abans de sortir del despatx per a qualsevol ús diferent del procés judicial.
4. Formació a tot l’equip —advocats, becaris, administració— sobre què és anonimització real i què no.
5. Registre d’anonimitzacions per demostrar diligència davant una reclamació.

Interacció amb el secret professional

El secret professional de l’advocat és més estricte que el RGPD: obliga a guardar secret fins i tot quan el RGPD permetria comunicar dades (p. ex., requeriments administratius). El marc combinat genera regles pràctiques:

• El secret professional no impedeix anonimitzar; al contrari, l’anonimització és la millor forma de reutilitzar informació (jurisprudència interna, formació) sense vulnerar el secret.
• Anonimitzar un document no allibera del deure de secret sobre els fets: l’advocat no pot relatar un cas anònim si els fets són tan singulars que permeten reidentificar el client.
• Les excepcions al secret (requeriments judicials, Llei 10/2010 de blanqueig) no eximeixen del RGPD: la dada cedida al jutjat continua sent personal i el seu tractament s’ha de documentar.

Preguntes freqüents

Puc publicar sentències que vaig guanyar al meu web per a màrqueting?

Sí, però completament anonimitzades. No n’hi ha prou amb substituir “Joan Pérez” per “J.P.”; s’ha d’eliminar qualsevol dada contextual que permeti identificar (localitat petita, empresa concreta, data exacta, quantia singular).

He d’anonimitzar els escrits que envio al jutjat?

No. La presentació davant un òrgan judicial està emparada per base legal processal; el que s’ha d’anonimitzar és la difusió posterior a altres finalitats (web, formació, consulta).

He d’utilitzar encàrrec de tractament amb els perits a qui envio expedients?

Sí, sempre que els enviïs dades personals per al seu servei professional. L’encàrrec de tractament documenta qui és responsable i qui encarregat, i és exigible per l’AEPD en una inspecció.

Puc utilitzar ChatGPT o altres LLMs per analitzar escrits d’un client?

Només si anonimitzes prèviament l’escrit o si el proveïdor signa contracte d’encàrrec RGPD amb servidors a la UE (OpenAI amb Enterprise, Anthropic amb Trust Center, Google Vertex a EU). La versió gratuïta o consumer d’aquests serveis no permet enviar dades personals de clients sense infringir el RGPD.

Quant de temps he de conservar els expedients dels meus clients?

Almenys 10 anys des de l’última actuació, per la prescripció de la responsabilitat civil professional i per l’art. 30 del Codi Deontològic. Més enllà, considera anonimització per a ús estadístic intern.

Conclusió

L’anonimització en despatxos d’advocats no és una càrrega addicional: és una eina que permet reutilitzar el coneixement acumulat (jurisprudència interna, formació, màrqueting) sense violar el secret professional ni el RGPD. Els despatxos que professionalitzen el seu flux d’anonimització redueixen riscos, publiquen amb confiança i treballen millor amb col·laboradors externs.

Si gestiones un despatx o treballes en una assessoria jurídica, prova anonimiza.do per automatitzar l’anonimització de sentències, escrits i expedients. Reconeix els identificadors propis del sistema espanyol i genera log auditable del procediment.