Abogado usando un certificado digital (IA)
Jun Wei Du No hay comentarios

Imagina que llega a tu despacho un nuevo cliente con un encargo urgente: presentar un escrito de alegaciones ante la Agencia Tributaria, que lo ha recibido hace una semana y te quedan pocos días antes de que venza el plazo.

El cliente, con poca soltura digital y sin certificado electrónico operativo en ese momento, te pide que lo presentes tú mismo. Para ello te entrega una autorización firmada para el uso del certificado digital y te firma la hoja de encargo profesional para el servicio legal contratado. ¿Qué haces? ¿Puedes usar el certificado digital del cliente para actuar en su nombre? ¿Estás cubierto legalmente por esa autorización y la hoja de encargo?

Esta escena se repite frecuentemente en los despachos y bufetes legales de toda España. Clientes con dificultades de acceso a medios electrónicos o sin conocimiento técnico suficiente delegan en su abogado la responsabilidad de realizar trámites esenciales ante organismos públicos. La confianza es total, y la solución parece clara: usar el certificado digital del cliente y presentar el documento en su nombre. Pero lo que parece una solución práctica puede acarrear importantes consecuencias legales si no se gestiona adecuadamente.

En nuestro despacho Futur Legal nos encontramos habitualmente ante esta situación, tanto para la tramitación de escritos ante diferentes organismos públicos, así como para la recopilación de documentación para la presentación de demandas judiciales ante los Tribunales de Justicia. Incluso en gestiones tan comunes como solicitar la vida laboral, acceder a expedientes tributarios o firmar una reclamación de prestaciones, la tentación de usar el certificado del cliente con una simple autorización está siempre presente. No obstante, detrás de este gesto cotidiano se esconden implicaciones jurídicas de gran calado que muchos profesionales del Derecho no tienen suficientemente interiorizadas.

Muchos profesionales creen que basta con tener el consentimiento del cliente para utilizar su certificado digital personal en la realización de trámites o presentación de escritos. Sin embargo, tanto la normativa relativa a la protección de datos y la relativa sobre firma electrónica, entre otras, establecen restricciones muy claras que todo abogado debe conocer y tener en cuenta los riesgos que ello conlleva.

El certificado digital: un dato personal y sensible

En el Reglamento (UE) 2016/679 (RGPD), se describe como datos personales: “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”

En este sentido, el certificado digital es mucho más que una herramienta técnica: es un dato personal sensible, en tanto que permite identificar al ciudadano y acceder a información confidencial suya (tributaria, laboral, judicial, etc.). Cuando un abogado utiliza el certificado de su cliente para realizar gestiones en su nombre, está accediendo y tratando datos personales protegidos.

Por otra parte, hay que tener en cuenta que la cesión del certificado digital también implica la entrega a un tercero (sea el abogado, el gestor o el asesor financiero) de la contraseña asociada al certificado, por lo que se están compartiendo datos de autenticación que podrían permitir accesos indebidos o suplantaciones si no se custodian correctamente.

Por ello, es fundamental:

  • Contar con una base legal para el tratamiento de esos datos personales: ya sea el consentimiento explícito del cliente o la ejecución de un contrato de prestación de servicios.
  • Informar adecuadamente en la primera reunión con el cliente sobre el uso de sus datos personales, incluido el certificado digital.
  • Cumplir con los principios del RGPD: licitud, lealtad, transparencia, minimización, integridad y confidencialidad.
  • Adoptar medidas de seguridad adecuadas para custodiar y proteger ese certificado y sus claves privadas.

Por lo que, una simple autorización genérica puede no ser suficiente si no se detallan las finalidades, el alcance y las condiciones del uso del certificado.

Protección de datos y uso del certificado del cliente

Desde el punto de vista de la protección de datos, lo esencial no es tanto el medio utilizado como el cumplimiento de las garantías legales en su aplicación. De modo que el uso del certificado digital del cliente por parte de un despacho de abogados puede ser lícito, siempre y cuando se cumplan escrupulosamente los principios del tratamiento de datos personales establecidos en el mencionado Reglamento:

  1. Base jurídica adecuada: El uso del certificado puede apoyarse en el consentimiento explícito del cliente, que debe ser informado, libre, específico e inequívoco. Este consentimiento debe documentarse (por ejemplo, en una autorización firmada), y debe poder revocarse en cualquier momento. Además, podría ampararse también en la ejecución del contrato de servicios jurídicos (art. 6.1.b RGPD), cuando el uso del certificado se considere necesario para llevar a cabo las gestiones derivadas del encargo profesional. Incluso cabe la base del interés legítimo o del cumplimiento de una obligación legal, especialmente cuando el abogado actúa para la defensa jurídica de su cliente.
  2. Deber de información: El cliente debe ser informado con claridad y antelación sobre el uso de su certificado y los fines para los que se utilizará. Este deber se puede cumplir mediante una cláusula en la hoja de encargo y una autorización específica, detallando duración, finalidades, revocabilidad y medidas de protección aplicables. El cumplimiento del artículo 13 del RGPD es esencial para que el tratamiento sea transparente y legítimo.
  3. Seguridad y confidencialidad: El despacho debe garantizar que el certificado se custodie de forma segura, restringiendo el acceso únicamente a personal autorizado, mediante protocolos de cifrado, almacenamiento seguro, registros de uso y, en su caso, sistemas de doble verificación. Además, se debe establecer un protocolo claro para la revocación y destrucción del certificado cuando finalice la relación profesional.
  4. Minimización y necesidad: El uso del certificado solo debe darse en los casos en los que sea estrictamente necesario para el cumplimiento del encargo profesional, evitando el acceso innecesario a datos no relacionados con el asunto encomendado. Siempre que exista una alternativa legalmente válida y menos invasiva (como el poder apud acta o el registro de representación electrónica), debe valorarse su uso preferente.
  5. Principio de responsabilidad proactiva: el despacho debe poder demostrar que cumple con el RGPD, no solo hacerlo. Por ello, es importante la documentación de las actuaciones realizada por los profesionales con el uso del certificado digital del cliente, las autorizaciones de consentimiento, las formalidades con el uso del certificado en la hoja de encargo o las medidas de seguridad implantadas en el despacho.

En resumen, el RGPD no prohíbe expresamente el uso del certificado digital de un cliente, pero exige que se apliquen todas las garantías necesarias para proteger los derechos del titular. Es posible articular un uso legítimo si se basa en una autorización bien estructurada, se acompaña de información adecuada y se implementan medidas de seguridad robustas. No obstante, esta posibilidad no exime de responsabilidad si se produce un uso indebido, filtración de claves o incumplimiento de las finalidades acordadas.

Reglamento eIDAS y la Ley 6/2020: una barrera clara

Aunque el RGPD permite estructurar un uso legítimo del certificado, el Reglamento eIDAS (UE 910/2014) y la Ley 6/2020, de servicios electrónicos de confianza, son mucho más restrictivos: los certificados digitales personales son intransferibles y deben permanecer bajo el control exclusivo de su titular.

Estos textos normativos establecen con claridad que:

  1. El firmante debe tener control exclusivo sobre los datos de creación de firma (clave privada asociada).
  2. El uso del certificado por parte de terceros, aunque haya consentimiento, carece de validez jurídica dentro del marco del eIDAS.
  3. Las firmas electrónicas cualificadas solo son equivalentes a las manuscritas si se crean bajo el control exclusivo del titular, utilizando un dispositivo cualificado de creación de firma.

Conforme a la nota de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), la cesión de certificados, incluso con consentimiento, no se ajusta a derecho y, así lo manifiesta en sus notas informativas:

Nota SECRETARÍA DE ESTADO PARA EL AVANCE DIGITAL

Los certificados electrónicos son de uso personal e intransferible; la posibilidad de que el titular/firmante de un certificado electrónico expedido a su nombre transfiera su posesión y revele sus claves de acceso a cualquier tercero, no es conforme con la legislación vigente en materia de servicios electrónicos de confianza.

Para los despachos de abogados y otros profesionales, esto significa que el uso del certificado digital del cliente, aunque autorizado por el mismo cliente, representa una práctica jurídicamente insegura desde la perspectiva del Reglamento eIDAS, y puede dar lugar a:

  • Invalidez de las actuaciones realizadas, al no respetarse el principio de la firma bajo control exclusivo del titular.
  • Exclusión de efectos jurídicos de la firma, por lo que, carece de eficacia jurídica el acto jurídico llevado a cabo con el certificado digital del cliente.
  • Pérdida de fe pública o valor probatorio de los documentos.
  • Posible responsabilidad civil e incluso penal, en caso de uso indebido, filtración o pérdida del certificado digital ajeno.

¿Cómo represento electrónicamente a mis clientes?

A la luz de las limitaciones legales expuestas, surge la pregunta esencial: ¿Cómo puede un abogado actuar en nombre de su cliente en entornos digitales sin incurrir en riesgos jurídicos? La respuesta está en utilizar los mecanismos de representación electrónica previstos por la normativa vigente.

A continuación, se presentan las alternativas más seguras y eficaces:

  1. Poderes de representación electrónicos (apud acta en sede judicial o notarial).
  2. Representación registrada en la sede electrónica correspondiente (AEAT, TGSS, DGT, etc.).
  3. Certificados cualificados de representante.
  4. Colaboración social autorizada (especialmente en materia fiscal y laboral).
  5. Sistemas de firma delegada centralizada, con control y validación por parte del cliente.

Estos mecanismos no solo son legales y seguros, sino que además fortalecen la credibilidad y profesionalidad del despacho frente a sus clientes y a la administración. Asimismo, protegen la validez de las actuaciones realizadas, refuerza la seguridad jurídica y preserva la confianza del cliente.

Recomendaciones finales: ¿Qué puede hacer un despacho responsable?

En el caso de que el despacho ya esté utilizando certificados digitales de los clientes o por motivo de la agilidad de las gestiones encargadas, recomendamos a los profesionales lo siguiente:

  1. Optar por medios de representación legalmente previstos, como poderes electrónicos o apoderamientos registrados.
  2. Establecer protocolos internos de custodia, uso y revocación de certificados.
  3. Reforzar las medidas de seguridad si, excepcionalmente, se gestiona temporalmente el certificado de un cliente.
  4. Actualizar las hojas de encargo y autorizaciones, detallando claramente las finalidades, duración y limitaciones del uso del certificado. En caso de actuaciones jurídicas de responsabilidad, solicitar la autorización por escrito del cliente para la actuación jurídica concreta.
  5. Formar al equipo jurídico en materia de protección de datos y representación electrónica segura.

¿Necesitas asesoramiento legal en protección de datos para tu despacho?

En Futur Legal, ayudamos a otros profesionales a adaptar sus prácticas a la normativa vigente. Si tu equipo necesita formación, revisión documental o asistencia jurídica especializada en protección de datos y representación electrónica, estamos a tu disposición.

Contáctanos y trabajaremos contigo para garantizar que tu despacho actúe con la máxima seguridad jurídica y profesionalidad.

Jun Wei Du, abogado especializado en derecho digital. 📧 jun.wei@futurlegal.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *