LexNET y protección de datos: qué deben anonimizar los despachos
Mayo 2026 · Lectura: ~13 min
Cada escrito que un abogado presenta por LexNET contiene, como mínimo, el nombre completo, el domicilio y el DNI o NIE de su cliente. En procedimientos de familia, ejecutivos o laborales, añade datos de salud, cuentas bancarias, situaciones penales o informes psicológicos de menores. Esos documentos circulan con total legitimidad dentro del sistema judicial, pero en el momento en que el despacho los comparte fuera de ese circuito —con un cliente, un colaborador, un perito o en su propia web— entra en juego el RGPD con toda su fuerza.
La pregunta práctica no es si los despachos tratan datos personales —es evidente que sí— sino cuándo están obligados a anonimizarlos y cómo hacerlo correctamente. La Agencia Española de Protección de Datos (AEPD) ha inspeccionado despachos que publicaron sentencias en sus webs con nombres y DNIs visibles, que compartieron expedientes sin depurar con colaboradores externos y que usaron casos reales en formación interna. Las sanciones llegan aunque el dato ya estuviera en un documento judicial público.
Esta guía explica el marco legal aplicable, qué datos contienen los escritos típicos, en qué escenarios la anonimización es obligatoria y cómo ejecutarla de forma que el documento sea reutilizable sin riesgo. Para la visión completa sobre la protección de datos en el despacho, consulta el checklist RGPD para despachos pequeños.
Qué es LexNET y qué documentos circulan por él
LexNET es el sistema de comunicación electrónica segura entre los profesionales jurídicos y la Administración de Justicia, regulado por el Real Decreto 1065/2015 y articulado en la Ley 18/2011 de administración electrónica al servicio de la Justicia. Su uso es obligatorio para abogados, procuradores, graduados sociales y el Ministerio Fiscal en todos los órdenes jurisdiccionales.
Por LexNET circulan actos de comunicación judicial (notificaciones, citaciones, emplazamientos) y escritos procesales (demandas, contestaciones, recursos, ejecuciones). La plataforma garantiza la autenticidad e integridad de los documentos mediante firma electrónica, y genera un justificante de entrega con valor probatorio.
Documentos habituales con alto contenido de datos personales
- ·Demandas y escritos de contestación (identificación completa de las partes, domicilios procesales)
- ·Escritos en procedimientos de familia: separación, divorcio, custodia, alimentos
- ·Procedimientos ejecutivos: embargos, certificaciones bancarias, declaraciones patrimoniales
- ·Recursos contencioso-administrativos con expediente administrativo adjunto
- ·Escritos penales: denuncias, escritos de acusación, informes forenses
- ·Informes periciales adjuntos: médicos, psicológicos, ingeniería, tasaciones
- ·Documentos acreditativos: certificados de nacimiento, empadronamiento, vida laboral, nóminas
El volumen de datos personales que maneja un despacho mediano a través de LexNET es considerable. Un procedimiento de divorcio con menores puede acumular decenas de documentos con datos de salud, psicológicos y económicos de ambas partes. Una ejecución hipotecaria incluye datos registrales, bancarios y catastrales. Gestionar correctamente ese volumen requiere tener claro cuándo cada documento puede salir del entorno judicial.
Marco legal: RGPD, LOPDGDD y la normativa judicial
Los despachos de abogados operan en la intersección de dos marcos normativos: el régimen general de protección de datos y la normativa procesal y judicial específica.
RGPD (UE) 2016/679
Se aplica al despacho como responsable del tratamiento de los datos de sus clientes, la contraparte y terceros que figuren en los expedientes. Las bases legales más frecuentes son el contrato de servicios jurídicos (Art. 6.1.b) y la obligación legal derivada del proceso (Art. 6.1.c). Los datos especiales (salud, penales) requieren base del Art. 9.2 o Art. 10.
LOPDGDD — Ley Orgánica 3/2018
Desarrolla el RGPD en España y establece, en su Art. 8, la licitud del tratamiento de datos de los clientes para la prestación de servicios jurídicos. El Art. 11 regula la protección de datos en el ejercicio de la abogacía, reconociendo el deber de confidencialidad y el secreto profesional como límite legítimo a determinados derechos de los interesados.
LOPJ — Arts. 236 bis a 236 decies
Regula el tratamiento de datos personales en el ámbito de la Administración de Justicia. Los ficheros judiciales están bajo la supervisión del Consejo General del Poder Judicial (CGPJ), no de la AEPD. Sin embargo, cuando el dato sale del ámbito judicial y lo gestiona el despacho en su esfera privada, vuelve a aplicar el RGPD y la competencia supervisora es de la AEPD.
Estatuto General de la Abogacía (EGAE) — RD 135/2021
El Art. 30 regula el deber de conservación del expediente y la confidencialidad. El Art. 31 establece el secreto profesional como obligación deontológica que coexiste con —y en ocasiones condiciona— el ejercicio de los derechos ARCO por parte del cliente.
La convivencia entre el secreto profesional y el RGPD no genera conflicto en la práctica habitual: el secreto protege al cliente frente a terceros, mientras que el RGPD protege al interesado frente al propio despacho. Donde surge la tensión real es cuando el cliente pide acceso a su expediente y en él figuran datos de la contraparte, o cuando la AEPD solicita información en el contexto de una inspección.
Qué datos personales contienen los escritos judiciales
El primer paso para gestionar correctamente la protección de datos en LexNET es identificar con precisión qué categorías de datos circulan en cada tipo de procedimiento. No todos los escritos tienen el mismo nivel de sensibilidad.
| Tipo de dato | Ejemplos frecuentes | Nivel de riesgo |
|---|---|---|
| Datos identificativos básicos | Nombre y apellidos, DNI/NIE/pasaporte, domicilio, teléfono, email de las partes. | Alto |
| Datos financieros | IBAN en procedimientos ejecutivos, embargo de cuentas, declaraciones de renta adjuntas. | Alto |
| Datos de salud | Informes médicos en separaciones, accidentes laborales, incapacidades, daños corporales. | Muy alto (categoría especial, Art. 9 RGPD) |
| Datos penales | Antecedentes, condenas, diligencias previas, situación procesal penal de las partes. | Muy alto (Art. 10 RGPD) |
| Datos de menores | Nombres, custodias, informes escolares y psicológicos en procedimientos de familia. | Muy alto (protección reforzada) |
| Datos registrales y notariales | Referencias catastrales, titularidades registrales, números de finca, datos de herencias. | Medio |
Los datos de salud, penales y de menores son categorías especiales bajo el Art. 9 y Art. 10 del RGPD. Su tratamiento requiere una base legal reforzada. En el ámbito judicial, esa base existe mientras el dato permanece en el procedimiento; fuera de él, cualquier comunicación o publicación sin el consentimiento del interesado o sin otra base explícita del Art. 9.2 constituye una infracción grave.
Cuándo deben anonimizar los despachos: los ocho escenarios clave
La anonimización no es obligatoria en todos los usos del documento. Lo es cuando la transmisión o publicación carece de base legal suficiente para justificar la exposición de datos personales de terceros. La siguiente tabla cubre las situaciones más frecuentes en la práctica de un despacho.
Envío al juzgado vía LexNET
Obligación legal (Art. 6.1.c) + normativa procesal. El tribunal es el destinatario legítimo.
Copia para el cliente de su propio expediente
Suprimir datos de contraparte, testigos y peritos no imprescindibles para el cliente.
Compartir con perito o colaborador externo
Principio de minimización: solo los datos necesarios para la función técnica encargada.
Formación interna o simulacros
No existe base legal para usar datos reales de clientes en formación. Anonimización obligatoria.
Publicación en web del despacho
Publicación abierta sin consentimiento de las partes. Anonimización real, no solo redacción visual.
Respuesta a auditoría interna o de calidad
Los auditores solo acceden a los datos estrictamente necesarios para el alcance de la auditoría.
Remisión a otro despacho del mismo grupo
No requiere anonimización, pero sí base legal válida (contrato de servicios informado) y DPA firmado.
Archivo tras cierre del caso (>3 años prescripción)
Superado el plazo de conservación justificado, los datos deben suprimirse o anonimizarse.
Cómo anonimizar un escrito judicial correctamente
El error más común en despachos es la redacción visual: superponer un recuadro negro sobre el nombre en el PDF. El texto original sigue en el código del archivo y puede recuperarse copiando el contenido al portapapeles o eliminando el elemento gráfico con cualquier editor. Esto no es anonimización; es ocultación superficial que no protege a nadie.
1. Identifica qué datos deben suprimirse según el destino
Antes de anonimizar, define el destino del documento y el principio de minimización aplicable. Para una publicación en web, se suprimen todos los identificadores de las partes. Para entregar al cliente su expediente, solo los datos de terceros no imprescindibles. La anonimización debe ser proporcional al riesgo, no genérica.
2. Usa eliminación estructural, no superposición gráfica
La anonimización válida elimina el texto del código interno del PDF, no lo cubre. Las herramientas de redacción profesional (Adobe Acrobat Pro con la función «Redactar», o soluciones automatizadas como AnonDocs) extraen el texto subyacente y lo eliminan de la estructura del documento. El resultado es un archivo donde esos caracteres no existen, no donde están ocultos.
3. Verifica el resultado antes de compartir
Tras la anonimización, comprueba que el texto no puede recuperarse: selecciona el área redactada, intenta copiarlo, ábrelo en otro lector PDF. Si el nombre sigue en el portapapeles o en la búsqueda del documento, la redacción es superficial. También revisa los metadatos del archivo: autor, historial de revisiones, propiedades del documento.
4. Trata los documentos escaneados de forma diferente
Los escritos que llegaron en papel y se escanearon son imágenes, no texto. Para anonimizarlos, es necesario aplicar OCR (reconocimiento óptico de caracteres) para detectar el texto, identificar los datos personales y eliminarlos de la imagen. La simple superposición de un rectángulo sobre una imagen escaneada tampoco es anonimización válida: la imagen original puede extraerse.
5. Documenta el proceso
El principio de responsabilidad proactiva (Art. 5.2 RGPD) exige poder demostrar que el proceso se realizó correctamente. Conserva un registro de qué documentos se anonimizaron, cuándo, con qué herramienta y para qué destino. Este registro es especialmente importante si la AEPD inicia una inspección o si un interesado reclama.
Errores frecuentes en despachos
- 1Publicar sentencias ganadas en la web del despacho con los nombres de las partes sin suprimir. La sentencia puede ser pública en la base del CGPJ, pero eso no habilita al despacho a publicarla con datos identificativos en su plataforma de marketing.
- 2Usar casos reales de clientes en formación interna o en charlas y ponencias sin anonimizar. El contrato de servicios jurídicos no incluye el consentimiento para usar datos del cliente como material pedagógico.
- 3Compartir el expediente completo con un perito sin depurar. El perito necesita los documentos técnicamente relevantes, no la historia clínica completa del cliente ni los extractos bancarios si su encargo es una tasación.
- 4Enviar por email copia de un escrito a un colaborador de otro despacho sin cifrar el mensaje ni verificar que tiene base legal para recibir esos datos. El correo electrónico no es un canal seguro y la transmisión puede constituir una comunicación de datos sin base legal.
- 5No tener firmado un contrato de encargo de tratamiento (DPA) con proveedores de software jurídico, nubes de almacenamiento de expedientes o gestores documentales. Si esos proveedores acceden a los datos, son encargados del tratamiento y el DPA es obligatorio.
- 6Considerar que la prescripción del caso cierra también la obligación de protección de datos. Los datos del cliente siguen siendo datos personales mientras el despacho los conserve, independientemente de que el procedimiento haya concluido.
Obligaciones documentales del despacho como responsable del tratamiento
Más allá de la anonimización puntual, el despacho debe tener en orden un conjunto de obligaciones que la AEPD verifica cuando recibe una reclamación o inicia una inspección:
Registro de Actividades de Tratamiento (RAT)
Documento que describe todos los tratamientos de datos personales que realiza el despacho: datos de clientes para la prestación de servicios, gestión laboral de empleados, videovigilancia si existe, etc. Obligatorio para despachos de cualquier tamaño cuando traten categorías especiales de datos (Art. 30.5 RGPD), algo inevitable en la práctica jurídica.
Contratos de encargo de tratamiento (DPA)
Con cualquier proveedor que acceda a datos personales gestionados por el despacho: software de gestión de expedientes, almacenamiento en nube, gestor de correo, empresa de destrucción de documentos. Sin DPA, la comunicación de datos al proveedor carece de cobertura legal.
Cláusula informativa a clientes
El cliente debe ser informado, antes o en el momento de la contratación del servicio, de quién es el responsable del tratamiento, con qué finalidades se tratan sus datos, cuáles son sus derechos y durante cuánto tiempo se conservarán. Esta información puede incorporarse en el contrato de servicios o en una hoja aparte firmada por el cliente.
Procedimiento interno de respuesta a derechos ARCO
El despacho debe poder atender solicitudes de acceso, rectificación, supresión, portabilidad y oposición en los plazos del RGPD (1 mes, prorrogable a 3 en casos complejos). En caso de conflicto entre el derecho de acceso del cliente y el secreto profesional respecto a datos de terceros, la LOPDGDD y el Estatuto de la Abogacía establecen los límites aplicables.
Preguntas frecuentes
¿Los escritos que envío al juzgado por LexNET deben ir anonimizados?
No. Los escritos que se envían al órgano judicial a través de LexNET no requieren anonimización: el tribunal es el destinatario legítimo y el tratamiento está amparado por la obligación legal (Art. 6.1.c RGPD) y la normativa procesal. La anonimización es necesaria cuando el documento sale del circuito judicial: al compartirlo con terceros, publicarlo en la web del despacho o usarlo en formación interna.
¿Puedo publicar un caso ganado en la web de mi despacho?
Sí, pero siempre que los datos personales de las partes estén correctamente anonimizados. Publicar una sentencia o un escrito con nombres, DNIs o domicilios de clientes o de la contraparte sin su consentimiento es una infracción del RGPD. La AEPD ha sancionado a despachos y gabinetes jurídicos por este motivo. La solución es eliminar los identificadores del propio PDF antes de subirlo, no simplemente redactar en texto la referencia al caso.
¿Debo anonimizar los documentos que envío a un perito colaborador?
Depende del principio de minimización (Art. 5.1.c RGPD). Si el perito necesita los datos de identidad para realizar su informe (p. ej., una tasación de inmueble ligada a un titular registral), la entrega está justificada bajo el contrato de prestación de servicios y el encargo de tratamiento. Si los datos identificativos no son relevantes para su función técnica, deben suprimirse. En cualquier caso, debe existir un contrato de encargo de tratamiento firmado con el perito.
¿Qué ocurre si un cliente pide copia de su expediente y hay datos de la contraparte?
El cliente tiene derecho de acceso sobre sus propios datos (Art. 15 RGPD), pero ese derecho no se extiende a los datos personales de terceros. Antes de entregar una copia del expediente, debes anonimizar o suprimir los datos identificativos de la contraparte, testigos y peritos que figuren en los documentos, salvo que esos datos sean indispensables para el ejercicio de un derecho en procedimiento judicial (Art. 23 RGPD).
¿Cuánto tiempo puedo conservar los expedientes con datos de mis clientes?
El Art. 30 del Estatuto General de la Abogacía establece el deber de conservación durante el tiempo que sea preciso para el ejercicio de posibles acciones derivadas de la relación profesional. Como referencia práctica, la prescripción de la responsabilidad civil del abogado es de tres años (Art. 1968 CC), aunque hay reclamaciones bajo otras vías con plazos distintos. Pasado el plazo justificado, los datos deben suprimirse o anonimizarse para conservar el expediente con fines estadísticos o de formación.
¿La comunicación de datos entre despachos de un mismo grupo empresarial requiere base legal?
Sí. La pertenencia a un mismo grupo no es por sí sola una base legal de tratamiento bajo el RGPD (Considerando 48). Cada entidad del grupo es un responsable del tratamiento independiente. La comunicación de datos de clientes entre despachos asociados requiere consentimiento del interesado o estar amparada en otra base legal válida, como la ejecución del contrato de servicios jurídicos si el cliente fue informado de esa estructura.
Conclusión
LexNET es un canal seguro dentro del sistema judicial. El problema no está en los documentos mientras viajan entre el despacho y el juzgado, sino en todo lo que ocurre antes y después: el expediente que se comparte con un colaborador por email, la sentencia que se publica como caso de éxito, el informe pericial que se adjunta a un email sin depurar. En esos puntos es donde el RGPD exige al despacho que tome decisiones conscientes sobre qué datos son necesarios y qué datos deben suprimirse.
La anonimización no es un trámite burocrático: es la herramienta que permite al despacho reutilizar documentos, compartir conocimiento y publicar su trabajo sin exponer a sus clientes ni a las contrapartes. Hacerla bien —eliminando el dato del código del archivo, no cubriéndolo con un recuadro— es la diferencia entre cumplir y simular que se cumple.
Si quieres profundizar en los aspectos más prácticos, los siguientes artículos cubren los escenarios concretos: cómo anonimizar una demanda civil paso a paso, qué datos redactar en escritos judiciales y el checklist RGPD completo para despachos.