El secreto profesional del abogado y el RGPD: compatibilidad y límites
Mayo 2026 · Lectura: ~14 min
En cuanto el RGPD entró en vigor en 2018, un sector de la abogacía interpretó que el nuevo derecho de acceso, supresión y portabilidad chocaba frontalmente con un principio que estructura la profesión desde hace siglos: el deber de secreto. Si el cliente —o, peor aún, un tercero— podía exigir conocer todos sus datos en poder del despacho y forzar su borrado, ¿qué quedaba del secreto profesional?
La respuesta corta es: prácticamente todo. El propio RGPD reconoce el secreto profesional como una limitación legítima a los derechos de los interesados (Art. 23 y Art. 90), y la LOPDGDD lo articula sobre el Art. 542.3 de la LOPJ y el Estatuto General de la Abogacía. La cuestión real no es si conviven, sino cómo se aplica el RGPD sin destruir el secreto y cómo se opone el secreto sin convertirlo en una exención global.
Esta guía explica los puntos de contacto, los choques aparentes y un procedimiento de armonización en siete pasos. Si todavía no has cerrado las piezas básicas, conviene leer también el checklist RGPD para despachos y la guía del Registro de Actividades de Tratamiento, donde el secreto se documenta como medida reforzada.
El marco legal: dos normas que se sostienen mutuamente
El secreto profesional del abogado no es una costumbre: es un deber jurídico tipificado. El Art. 542.3 de la Ley Orgánica del Poder Judicial obliga al abogado a guardar secreto «de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional». El Art. 32 del Estatuto General de la Abogacía lo desarrolla y lo extiende a las comunicaciones entre abogado y cliente y entre abogados. El incumplimiento es sancionable disciplinariamente por el Colegio y penalmente por el Art. 199.2 del Código Penal.
El RGPD no derogó nada de esto. Al contrario: su Art. 23.1.i autoriza expresamente a los Estados miembros a limitar los derechos de los interesados cuando ello sea necesario para «la protección del interesado o de los derechos y libertades de otros», categoría dentro de la cual encaja el secreto que protege a clientes y terceros del expediente. El Art. 90 RGPD remite a las normas nacionales sobre obligaciones de secreto y, en consecuencia, la AEPD ha resuelto reiteradamente que el secreto profesional es un título legítimo para modular —no anular— el ejercicio de los derechos del RGPD.
La consecuencia práctica es que el despacho ni puede invocar el secreto para esquivar el RGPD en bloque, ni puede tratar el RGPD como una norma que vacía el secreto. Lo que hay es un trabajo caso por caso: cada solicitud, cada cesión, cada requerimiento exige una decisión motivada que pondere el derecho del RGPD y el deber deontológico.
Los puntos de fricción y cómo se resuelven
La mayoría de los conflictos prácticos se reducen a cinco escenarios. La tabla los resume con la posición del secreto, la posición del RGPD y el desenlace habitual cuando la respuesta se motiva correctamente.
| Escenario | Posición del secreto | Posición del RGPD | Desenlace |
|---|---|---|---|
| Solicitud de acceso de la contraparte que figura en el expediente | El secreto protege la información que el cliente confió al abogado y la que este obtuvo en el ejercicio de la defensa, incluidos datos de terceros que aparecen en el expediente. | El Art. 23 RGPD permite limitar el derecho de acceso cuando una norma legal lo justifica y la limitación es proporcionada. El secreto profesional del Art. 542.3 LOPJ es esa norma. | Se atiende el derecho de acceso del titular sobre sus propios datos, pero se deniega motivadamente el acceso a información protegida por el secreto, sin destruir el deber de información del Art. 12 RGPD. |
| Derecho de supresión sobre datos del expediente | El abogado debe conservar el expediente durante el plazo de prescripción de responsabilidades civiles y deontológicas; el deber de custodia es independiente de la voluntad del cliente. | El Art. 17.3.b y e RGPD excluye la supresión cuando el tratamiento es necesario para cumplir una obligación legal o para la formulación, ejercicio o defensa de reclamaciones. | Procede denegar la supresión durante el plazo de conservación obligatorio; al vencer ese plazo, se suprime o se anonimiza efectivamente. |
| Requerimiento de información del Servicio Ejecutivo de Prevención de Blanqueo (SEPBLAC) | El secreto profesional cubre la información obtenida en el asesoramiento sobre la posición jurídica del cliente o su defensa en un procedimiento. | La Ley 10/2010 obliga al abogado a comunicar operaciones sospechosas en ciertos supuestos, salvo cuando la información se obtiene precisamente en el ámbito protegido por el secreto. | Hay obligación de comunicar cuando el abogado actúa en operaciones inmobiliarias o gestión patrimonial, no cuando asesora sobre la situación jurídica o defiende en un proceso. |
| Brecha de seguridad que afecta a un expediente | Revelar la brecha implica admitir el tratamiento de datos de un cliente identificable y los terceros relacionados. | Los Arts. 33 y 34 RGPD obligan a notificar a la AEPD en 72 horas y, si hay alto riesgo, al interesado. | Se notifica cumpliendo el RGPD; el contenido de la comunicación se redacta minimizando datos y protegiendo el contenido amparado por secreto. |
| Cesión de expediente a otro letrado por cambio de abogado | El secreto subsiste tras el cese del encargo y el abogado saliente conserva el deber de custodia. | La comunicación al nuevo letrado se ampara en la ejecución del contrato y el interés legítimo en la defensa del cliente, con instrucción expresa de este. | Se transfiere la información necesaria con consentimiento documentado del cliente; la copia conservada por el saliente queda sujeta al plazo de prescripción. |
En todos los casos, el patrón es el mismo: se cumple el RGPD en lo formal —plazos, motivación, documentación— y se opone el secreto en lo material respecto a la información que efectivamente protege. La negativa silenciosa o la entrega indiscriminada son los dos extremos que sancionan tanto la AEPD como los Colegios.
Cómo armonizar secreto y RGPD en siete pasos
Este es el procedimiento recomendado para que el despacho pueda demostrar, ante una inspección de la AEPD o una queja deontológica, que la decisión tomada en cada caso pondera ambos regímenes con criterio.
Inventaria qué información del despacho está cubierta por el secreto
Antes de armonizar nada, identifica con precisión qué cae bajo el secreto profesional: las comunicaciones con el cliente (presenciales, escritas, telemáticas), la documentación que este aporta, las notas internas elaboradas en el curso del asesoramiento o la defensa, la estrategia procesal, los informes periciales encargados ad hoc y los datos de terceros que aparecen vinculados al asunto. El secreto profesional del Art. 542.3 LOPJ y del Art. 32 del Estatuto General de la Abogacía cubre toda la información obtenida en el ejercicio de la profesión, no solo las confidencias verbales del cliente. Documenta este perímetro en el RAT como una categoría especial de información sometida a medidas reforzadas.
Declara el secreto como limitación legal en la política de privacidad
La política de privacidad del despacho debe informar al cliente y a cualquier tercero cuyos datos se traten en el expediente de que el ejercicio de los derechos del RGPD puede verse limitado por la obligación legal de secreto profesional. Cita expresamente el Art. 23.1.i RGPD, el Art. 542.3 LOPJ y el Art. 32 del Estatuto, e indica que la limitación se aplica de forma motivada, caso por caso, y nunca como denegación genérica. Esa información preserva el deber de transparencia del Art. 12 RGPD aunque, después, el derecho concreto se atienda parcialmente.
Establece un protocolo de respuesta a derechos ARCO+ con criterio doble
Toda solicitud de acceso, rectificación, supresión, oposición, portabilidad o limitación tiene que pasar por un doble filtro: criterio RGPD —¿quién pregunta, sobre qué dato, con qué legitimación— y criterio deontológico —¿hay deber de secreto, cuál es el plazo de conservación, qué información de terceros se protege—. Documenta cada caso por escrito, con motivación expresa cuando la respuesta restrinja el ejercicio del derecho, y respeta los plazos del Art. 12.3 RGPD (un mes prorrogable a tres). Una denegación motivada no es una infracción; una denegación silenciosa o genérica sí lo es.
Define plazos de conservación que respeten el deber de custodia
El deber de custodia deontológico no fija un plazo único, pero la jurisprudencia y los criterios colegiales lo anudan a los plazos de prescripción civil de la responsabilidad del abogado (Arts. 1964 CC y 1968 CC, según la naturaleza de la acción) y, en su caso, penales. En el RAT declara para el tratamiento «gestión de expedientes» un plazo concreto y motivado: cinco años desde la finalización del encargo es un suelo razonable para la mayoría de asuntos civiles; los penales requieren plazos más largos. Vencido el plazo, suprime o anonimiza efectivamente; conservar indefinidamente «por si acaso» vulnera el principio de limitación del Art. 5.1.e RGPD.
Articula los encargos de tratamiento sin comprometer el secreto
El despacho contrata proveedores que tratan datos del expediente: software de gestión en la nube, gestoría laboral, peritos, asesoría fiscal externa. Cada uno requiere un contrato del Art. 28 RGPD con cláusulas reforzadas: confidencialidad explícita por encima del propio RGPD, prohibición de subcontratar sin autorización, obligación de devolver o destruir los datos al final del encargo, y notificación inmediata de cualquier requerimiento de autoridades. Para los proveedores de IA, comprueba que los datos del expediente no se usan para entrenar modelos: el secreto profesional es incompatible con ese uso secundario.
Anonimiza antes de cualquier comunicación que no exija identificar al cliente
El secreto no se rompe únicamente con confidencias verbales: una sentencia compartida en un curso, un escrito subido a una base de jurisprudencia interna o un caso comentado en redes sociales puede revelar al cliente y a los terceros del expediente. Antes de cualquier uso secundario del documento —formación, marketing, jurisprudencia, peritación externa— elimina estructuralmente identificadores directos (nombres, DNI/NIE, IBAN, direcciones) y cuasi-identificadores que permitan reidentificación por combinación. La caja negra superpuesta no basta: el texto subyacente sigue ahí.
Documenta requerimientos de autoridades y motiva la respuesta
Cuando llega un requerimiento de un juzgado, de la AEPD, del SEPBLAC o de la Agencia Tributaria, el despacho debe documentar la respuesta y motivarla. No todos los requerimientos rompen el secreto: depende del marco legal del requerimiento, del tipo de información solicitada y de si la información se obtuvo en el ámbito protegido. La respuesta debe analizar el deber de colaboración frente al deber de secreto y, en su caso, oponer formalmente este último. Una entrega masiva e indiscriminada es tan reprochable como una negativa sin fundamento.
Errores frecuentes al invocar el secreto frente al RGPD
- 1Tratar el secreto como una exención global del RGPD. La AEPD ha sancionado a despachos que denegaron el derecho de acceso sin motivar la limitación o que ni siquiera respondieron a la solicitud.
- 2No informar al cliente y a los terceros del expediente de que el secreto puede limitar sus derechos. La política de privacidad debe declararlo expresamente con cita del Art. 23 RGPD.
- 3Conservar expedientes indefinidamente «por si acaso». El deber de custodia tiene un plazo razonable anudado a la prescripción; vencido, hay que suprimir o anonimizar.
- 4Subir expedientes a herramientas de IA generativa de consumo sin contrato del Art. 28 ni garantías sobre uso secundario. El secreto se rompe en el momento en que los datos pueden entrenar un modelo de un tercero.
- 5Compartir sentencias, dictámenes o casos en formación interna, marketing o redes sin anonimización estructural. La caja negra superpuesta deja el texto subyacente intacto y reidentificable.
- 6Responder a un requerimiento del juzgado entregando todo el expediente sin filtro. El deber de colaboración no anula el secreto; debe oponerse motivadamente respecto al contenido protegido.
- 7Confundir el deber de comunicación al SEPBLAC con una excepción general al secreto. Solo opera en operaciones expresamente listadas en la Ley 10/2010, no en el asesoramiento ni en la defensa.
Preguntas frecuentes
¿El secreto profesional del abogado es compatible con el RGPD?
Sí, plenamente. El RGPD reconoce expresamente las obligaciones legales de secreto profesional como una limitación legítima a los derechos de los interesados (Art. 23.1.i RGPD) y exige a los Estados miembros conciliar la protección de datos con esas obligaciones (Art. 90 RGPD). En España, el Art. 542.3 LOPJ y el Art. 32 del Estatuto General de la Abogacía configuran ese deber. La aparente tensión se resuelve aplicando el RGPD de forma proporcionada: el secreto limita el ejercicio de ciertos derechos en supuestos concretos, motivadamente, no opera como una exención global.
¿Puedo negarme a dar acceso a sus datos a una persona que aparece en un expediente porque alega secreto profesional?
Solo de forma motivada y proporcionada. El secreto profesional permite limitar el derecho de acceso del Art. 15 RGPD respecto a información cubierta por él, especialmente cuando la solicitud procede de un tercero distinto del cliente o cuando revelar la información comprometería el contenido de la defensa o la estrategia procesal. La respuesta debe explicar la base legal de la limitación, identificar qué parte se restringe y atender la solicitud en lo no protegido. Una denegación genérica o silenciosa es sancionable.
Si un cliente me pide que borre todo el expediente, ¿debo hacerlo?
No durante el plazo en el que puedan derivarse responsabilidades civiles, deontológicas o penales para el abogado o para el cliente. El Art. 17.3 RGPD excluye el derecho de supresión cuando el tratamiento es necesario para cumplir una obligación legal o para la formulación, ejercicio o defensa de reclamaciones. El despacho responde motivadamente, indicando el plazo de conservación que aplica y comprometiéndose a la supresión o anonimización efectiva al vencimiento. Mientras tanto, restringe el acceso interno al expediente a quien lo necesite.
¿La obligación de prevención de blanqueo (SEPBLAC) rompe el secreto profesional?
No siempre. La Ley 10/2010 de Prevención de Blanqueo obliga al abogado a comunicar operaciones sospechosas cuando interviene en operaciones de compraventa de inmuebles, gestión patrimonial, creación o gestión de sociedades y operaciones financieras o societarias asimilables. Queda fuera la información que el abogado obtiene en el asesoramiento sobre la posición jurídica del cliente o en su defensa en un procedimiento, ya sea antes, durante o después del mismo. Ese ámbito de defensa sigue cubierto por el secreto y la propia ley lo respeta.
¿Puedo subir expedientes a un proveedor de IA generativa para revisarlos?
Solo si el proveedor garantiza por contrato que los datos del expediente no se usan para entrenar modelos, ni se almacenan más allá del tiempo estrictamente necesario, ni son accesibles por terceros, y siempre tras suscribir un contrato del Art. 28 RGPD con cláusulas reforzadas de confidencialidad. En la práctica, la mayoría de servicios de IA generativa gratuitos o de consumo no cumplen estas condiciones, por lo que su uso con datos de clientes vulnera el deber de secreto. Antes de cualquier uso, conviene anonimizar estructuralmente el documento.
¿Qué pasa con el secreto cuando un cliente cambia de abogado y pide que se entregue su expediente?
El abogado saliente conserva el deber de custodia y de secreto, pero debe entregar al nuevo letrado —o al propio cliente— la documentación necesaria para la continuación del asunto, con instrucción expresa del cliente. La cesión se ampara en la ejecución del contrato y el interés legítimo en la defensa, debe documentarse y limitarse a lo necesario. La copia que conserva el saliente queda sujeta al plazo de prescripción ordinario; el nuevo letrado asume sus propias obligaciones desde el momento de la recepción.
¿Cómo notifico una brecha de seguridad que afecta a un expediente sin vulnerar el secreto?
Cumpliendo el RGPD pero redactando la notificación con criterios de minimización: la comunicación a la AEPD (Art. 33) describe la naturaleza de la brecha, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas, sin necesidad de identificar a clientes concretos ni revelar contenido procesal. La notificación al interesado (Art. 34) sí va dirigida a personas identificadas, pero su contenido se limita a la información sobre el incidente y los pasos a seguir, no al fondo del expediente.
Conclusión
La compatibilidad entre secreto profesional y RGPD no es un equilibrio teórico: es un trabajo diario de motivación. El despacho que documenta cada decisión —por qué se atiende un derecho, por qué se limita otro, qué plazo de conservación se aplica, por qué se anonimiza antes de compartir— está cumpliendo simultáneamente con la AEPD y con el Colegio. El que confía en frases hechas («todo es secreto», «el RGPD me obliga a borrarlo») está abriendo el flanco que falle.
El punto de unión más operativo entre ambos regímenes es la anonimización estructural. El secreto exige no revelar; el RGPD exige minimizar. Cuando el documento sale del expediente —al perito, al cliente para una segunda opinión, a una base de jurisprudencia, a una formación interna, a un artículo publicado— la única forma de cumplir los dos a la vez es retirar los datos personales antes de la salida, y hacerlo de verdad, no con una caja negra que el inspector levanta con un copiar y pegar.
Para seguir: el RAT del despacho y cómo declarar el secreto como medida reforzada, la guía sobre qué redactar y qué ocultar en escritos judiciales y la página sectorial de anonimización para despachos y abogados.
Artículos relacionados
- Registro de actividades de tratamiento (RAT) para despachos de abogados
- Cumplimiento RGPD en despachos pequeños: checklist completo
- Datos personales en escritos judiciales: qué redactar y qué ocultar
- LexNET y protección de datos: qué deben anonimizar los despachos
- Anonimización para despachos y abogados