Secreto profesional y Nextcloud

Artículo escrito por Pablo Marinero, desde el departamento de consultoría de privacidad de la empresa CEASE.

En la sociedad digital actual el empleo de tecnologías digitales en el ejercicio de nuestras profesiones es absolutamente imprescindible. Sin embargo, durante el periodo de tiempo que hemos transitando progresivamente hacia las tecnologías que han ido apareciendo y reemplazando a las anteriores, en los últimos 15 años, los criterios empleados no siempre han sido consecuentes con la legislación y las obligaciones de los diferentes sectores profesionales.

En primer lugar es importante mencionar las obligaciones existentes con respecto a la protección de la información. Para ello, tenemos que mencionar dos elementos diferentes:

Códigos deontológicos y secreto profesional

Son muchas las profesiones que están sujetas a un código deontológico o código ético que incluye un capítulo específico dedicado al secreto profesional.

En general, estos capítulos indican que la información de los pacientes, clientes, usuarios no deben compartirse con terceras entidades. Por supuesto, existen algunas salvedades que hace referencia exclusiva a requerimientos judiciales o causas de fuerza mayor como peligro para la persona afectada o un tercero en el caso de profesiones sanitarias.

Veamos a continuación un par de ejemplos del contenido de estos códigos deontológicos:

A) Código deontológico de la abogacía española

A continuación se muestran textos extraídos del Artículo 5. Secreto Profesional que se puede consultar en: https://www.abogacia.es/wp-content/uploads/2019/05/Codigo-Deontologico-2019.pdf

Puntos 2 al 8

2. El deber y derecho al secreto profesional comprende todas las confidencias y propuestas del cliente, las de la parte adversa, las de los compañeros, así como todos los hechos y documentos de que haya tenido noticia o haya remitido o recibido por razón de cualquiera de las modalidades de su actuación profesional.
3. Cualquier tipo de comunicación entre profesionales de la Abogacía, recibida o remitida, está amparada por el secreto profesional, no pudiendo ser facilitada al cliente ni aportada a los Tribunales ni utilizada en cualquier otro ámbito, salvo autorización expresa del remitente y del destinatario o, en su defecto, de la Junta de Gobierno, que podrá autorizarlo discrecionalmente, por causa grave y previa resolución motivada con audiencia de los interesados.
   En caso de sustitución, esta prohibición le estará impuesta al sustituto respecto de la correspondencia que el sustituido haya mantenido con otros profesionales de la Abogacía, requiriéndose la autorización de todos los que hayan intervenido
   Se exceptúan de esta prohibición las comunicaciones en las que el remitente deje expresa constancia de que no están sujetas al secreto profesional.
4. Las conversaciones mantenidas con los clientes o con los contrarios, de presencia o por cualquier medio telefónico o telemático, en que intervengan profesionales de la Abogacía, no podrán ser grabadas sin previa advertencia y conformidad de todos los intervinientes, y siempre quedarán amparadas por el secreto profesional.
5. El secreto profesional ampara las comunicaciones y negociaciones orales y escritas de todo tipo, con independencia del medio o soporte utilizado.
6. El deber de secreto profesional en relación con los asuntos profesionales encomendados, o en los que intervenga cualquiera de los miembros de un despacho colectivo, se extiende y vincula a todos y cada uno de ellos.
7. En todo caso, quien ejerce la Abogacía deberá hacer respetar el secreto profesional a cualquier otra persona que colabore con él en su actividad.
8. La obligación de guardar el secreto profesional permanece incluso después de haber cesado en la prestación de los servicios al cliente o abandonado el despacho donde se estaba incorporado, sin que esté limitada en el tiempo.

Además, es imperativo atender a lo expresado en el punto 10, que añade:

10. El consentimiento del cliente no excusa de la preservación del secreto profesional.

B) Código deontológico de medicina

En el caso del código deontológico de medicina el secreto profesional aparece recogido en el capítulo VII, tal como puede consultarse en: https://www.cgcom.es/sites/main/files/minisite/static/41a75446-a6e8-4df0-af58-7ca9cb625f1e/Codigo_Deontologia_2022/38/index.html

Capítulo sobre el secreto profesional – Artículos seleccionados (27 a 30)

Artículo 27.1
El secreto médico es uno de los pilares esenciales en la relación médico-paciente, cualquiera que sea la modalidad del ejercicio profesional. Es un derecho del paciente la confidencialidad de sus datos y un bien social que genera una obligación de secreto inexcusable para el médico.

Artículo 27.2
El secreto comporta para el médico la obligación de mantener la reserva y la confidencialidad de todo aquello que el paciente le haya revelado y confiado, de lo que haya visto y deducido, incluyendo el contenido de la historia clínica, como consecuencia de su ejercicio profesional, y que tenga relación con la salud y la intimidad del paciente.

Artículo 27.4
El médico también tiene deber de secreto en su ámbito social, laboral y familiar.

Artículo 28.1
El médico debe preservar la confidencialidad de la información clínica incluida en las bases de datos sanitarias.

Artículo 28.3
El médico no debe colaborar en ninguna base de datos sanitaria si no está garantizada la preservación de la confidencialidad de la información depositada en la misma.

Artículo 28.4
El médico puede cooperar en estudios epidemiológicos, económicos, de gestión o de naturaleza análoga con la condición expresa de que la información en ellos recogida no permita identificar, ni directa ni indirectamente, a ningún paciente.

Artículo 28.5
Cuando el médico interacciona en las redes sociales utilizando información de algún paciente, lo debe hacer con finalidad asistencial, docente o de investigación, y garantizando siempre el anonimato de dicho paciente.

Artículo 29.1
El médico directivo debe velar por el establecimiento de los controles necesarios para que no se vulnere el derecho a la intimidad y la confidencialidad de los pacientes.

Artículo 29.2
En las publicaciones o presentaciones de casos clínicos en cualquier medio o formato no debe figurar ningún dato que posibilite la identificación del paciente. Cuando no se puede evitar la identificación, es preceptiva la autorización explícita del paciente.

Artículo 29.3
El médico tiene el deber de guardar el secreto profesional incluso después de la muerte del paciente.

Artículo 29.4
Cuando se produce algún problema de salud en personas de notoriedad pública, el médico responsable de su asistencia, o el designado específicamente, podrán facilitar información sanitaria haciendo constar la autorización de la persona afectada o de su responsable. Debe extremar en todo caso la prudencia en su labor informativa.

Artículo 30.1
El médico debe solicitar a sus colaboradores sanitarios y no sanitarios una discreción absoluta, con observancia escrupulosa del secreto profesional.

Artículo 30.2
El médico tutor de estudiantes y de médicos en formación debe fomentar y exigir el respeto a la intimidad y a la confidencialidad de la información clínica de los pacientes.

Artículo 30.3
En el ejercicio de la Medicina en equipo, cada médico tiene el deber y la responsabilidad de preservar la confidencialidad de la totalidad de los datos personales del paciente.

Artículo 30.4
El médico solo debe comunicar a otro médico información confidencial de un paciente cuando ello sea necesario para el beneficio de este último.

Debe observarse con atención que el último párrafo mencionado, artículo 30.4, no exime de la obligación de realizar la comunicación garantizando la ausencia de difusión de la información transmitida en la comunicación, como es lógico. Es decir, en los casos en los que un profesional de la medicina considere oportuna compartir información con otro profesional debe garantizarse que la información se comunica exclusivamente a la persona deseada para garantizar el cumplimiento del secreto profesional.

C) Código deontológico de otros sectores

Los dos casos expuestos son muestra más que suficiente de los contenidos relativos al secreto profesional de las profesiones sometidas a él. Si bien, en función de los gremios, el secreto profesional puede estar más o menos desarrollado el objetivo en todos ellos es común.

Entre los sectores profesionales afectados por el secreto profesional encontramos:

• Sanidad y Salud
  a) Médicos
   • Código de Deontología Médica (Organización Médica Colegial de España).
  b) Enfermeros/as
   • Código Deontológico del Consejo General de Enfermería.
  c) Psicólogos/as
   • Código Deontológico del Colegio Oficial de Psicólogos.
  d) Farmacéuticos/as
   • Código Deontológico del Consejo General de Colegios Oficiales de Farmacéuticos.
  e) Odontólogos/as
   • Código Deontológico del Consejo General de Dentistas de España.
  f) Fisioterapeutas
   • Código Deontológico del Consejo General de Colegios de Fisioterapeutas.
  g) Veterinarios/as
   • Código Deontológico del Consejo General de Colegios Veterinarios.

• Legal y Justicia
  a) Abogados/as
   • Código Deontológico de la Abogacía Española.
  b) Procuradores/as de los Tribunales
   • Código Deontológico del Consejo General de Procuradores de España.
  c) Graduados/as Sociales
   • Código Deontológico del Consejo General de Colegios de Graduados Sociales.
  d) Notarios/as
   • Normativa notarial y deber de confidencialidad por ley.
  e) Registradores/as de la Propiedad
   • Normativa específica del cuerpo con obligaciones de confidencialidad.

• Económico-Financiero
  a) Economistas
   • Código Deontológico del Consejo General de Economistas de España.
  b) Auditores/as de cuentas
   • Normas de ética profesional (ICAC + ICJCE + REA).
  c) Asesores/as fiscales
   • Normas éticas de asociaciones como la AEDAF.
  d) Contables
   • Sujetos a códigos como el del REA o del Consejo de Economistas, si están colegiados.
  e) Técnicos Tributarios
   • Asociaciones con códigos deontológicos (como la APTTC).

• Educación y Ciencias Sociales
  a) Trabajadores/as Sociales
   • Código Deontológico del Consejo General del Trabajo Social.
  b) Educadores/as Sociales
   • Código Deontológico del Consejo General de Colegios de Educadoras y Educadores Sociales.
  c) Pedagogos/as y Psicopedagogos/as
   • Asociaciones profesionales que promueven códigos éticos.
  d) Orientadores/as escolares
   • Sujetos a códigos internos y a la Ley de Protección de Datos.

• Comunicación y Tecnología
  a) Periodistas
   • Código Deontológico de la Federación de Asociaciones de Periodistas de España (FAPE).
  b) Profesionales de la comunicación audiovisual y relaciones públicas
   • Algunos colegios y asociaciones tienen códigos propios.
  c) Ingenieros informáticos / Técnicos en informática
   • Algunos colegios autonómicos (como el COEINF en Cataluña) tienen códigos con cláusulas de confidencialidad.
  d) Traductores e Intérpretes
   • Códigos de asociaciones como Asetrad o el Colegio de Traductores e Intérpretes Judiciales.

• Seguridad y Fuerzas del Estado
  Aunque no se rigen por "códigos deontológicos" colegiales, tienen normativas internas estrictas sobre secreto profesional.
  a) Policías (nacionales, autonómicos y locales)
   • Ley Orgánica 2/1986 y reglamentos internos.
  b) Guardia Civil
   • Régimen disciplinario y normas del cuerpo.
  c) Militares
   • Reglamento de Régimen Disciplinario de las Fuerzas Armadas.

• Funcionariado y Administración Pública
  A menudo no tienen "código deontológico" como tal, pero sí normativas vinculantes.
  a) Funcionarios públicos en general
   • Estatuto Básico del Empleado Público: deber de confidencialidad.
  b) Inspectores de Hacienda, Interventores, Secretarios municipales, etc.
   • Sujetos a normas específicas que imponen secreto profesional.

Políticas de privacidad de las grandes tecnológicas y TOSDR

Una vez expuesta esta base y condición normativa, el siguiente paso es analizar cómo encajan las políticas de privacidad de los productos digitales más comúnmente empleados con el secreto profesional.

Para ello habría que dirigirse a las políticas de privacidad de las grandes compañías tecnológicas como Microsoft, Google o Apple:

• Microsoft: https://www.microsoft.com/en-gb/privacy/privacystatement
• Google: https://policies.google.com/privacy?hl=es#intro
• Apple: https://www.apple.com/es/legal/privacy/es/

Si alguien intenta realizar este ejercicio enseguida podrá darse cuenta de su tremenda dificultad. Estas políticas de privacidad son muy extensas y difíciles de entender. Incluso resultan poco claras en muchos aspectos para una persona especializada. De forma añadida, hay que tener en cuenta que estás políticas de privacidad cambian con frecuencia.

Afortunadamente un sitio en Internet nos ofrece una forma mucho más sencilla para acceder a los puntos críticos en materia de privacidad de éstas y otras políticas. Se trata del proyecto TOSDR (https://tosdr.org/es) .

A continuación mostramos enlace a la información expuesta en dicho sitio para las tecnológicas antes mencionadas:

• Microsoft: https://tosdr.org/es/service/244
• Google: https://tosdr.org/es/service/217
• Apple: https://tosdr.org/es/service/158

En un rápido vistazo se puede apreciar fácilmente que la cantidad de información recopilada poco tiene que ver con el ejercicio del secreto profesional y, lo más grave, estas compañías tienen acceso a los contenidos alojados en sus servicios como nubes de datos o correos.

II - Por si todo esto fuera poco, el Reglamento General de Protección de Datos (RGPD) establece algunas condiciones que también son de aplicación en este ámbito. Entre los artículos del reglamento afectados por el uso de tecnológicas incompatibles con el secreto profesional podemos mencionar:

• Art. 5: Principio de minimización y confidencialidad.
• Art. 32: Seguridad del tratamiento.
• Art. 46: Transferencia internacional de datos con garantías adecuadas.

Servicios en la nube respetuosos con el secreto profesional

Una vez llegados a este punto es necesario abordar el siguiente paso. ¿Existen tecnologías que provean de aplicaciones y servicios a los profesionales siendo éstas respetuosas con el secreto profesional y el RGPD? Y aquí empieza la parte más interesante. Sí, las hay. Y además las tenemos en España y Europa.

El argumento general esgrimido hasta este punto lo vamos a centrar ahora en el uso de nubes de datos. De entre las diferentes alternativas que tenemos para ofrecer un ecosistemas en la nube que nos pueda proveer diferentes herramientas y servicios como: nube de datos y compartición de archivos, herramientas de ofimática y edición colaborativa o servicio de videoconferencias, entre otros, tenemos los servicios ofrecidos por RCA Systems a través de la herramienta Nextcloud.

Nextcloud es una serie de programas de arquitectura cliente-servidor que proporcionan diferentes servicios y funcionalidades a sus usuarios. Nextcloud es Software Libre en su totalidad por lo que, a diferencia de las aplicaciones y servicios de las grandes compañías tecnológicas, se pueden realizar auditorias independientes de su código fuente con el objetivo de comprobar que este software hace solo que sus desarrolladores indican. El código fuente de Nextcloud se puede obtener en https://github.com/nextcloud

Es decir, cuando un proveedor de servicios ofrece instancias de Nextcloud, y dado que esta plataforma en sí misma es respetuosa con el secreto profesional y el RGPD, serán las condiciones particulares del proveedor de servicios, así como cuestiones relativas a la ubicación de las copias de seguridad las que determinarán su idoneidad para el cumplimiento de requisitos como el secreto profesional.

En el caso de RCA Systems las condiciones, tal como completa a continuación su administrador:

¿Comparte o envía RCA Systems datos relativos a las instancias de sus clientes a terceras entidades?

No, RCA Systems no comparte ni envía ninguna información a terceras entidades, que sea en forma de documentos, imagénes, videos, metadatos.

Se garantiza a los clientes que sus datos estén almacenados en España en infraestructura propia ubicada en centros de datos de grado empresarial y bajo una estricta política de control de acceso y de seguridad, aplicando medidas avanzadas de protección de datos y siguiendo las recomendaciones y las especificaciones de los estandares referentes en la industria, por ejemplo el Esquema Nacional de Seguridad.

¿Dónde se almacenan las copias de seguridad de las instancias Nextcloud que proporciona RCA Systems?

Las copias de seguridad de las instancias Nextcloud se almacenan en servidores propios en centros de datos de grado empresarial por un periodo especificado en las condiciones de contratación del servicio, normalmente 15 días.  A petición del cliente las copias de seguridad se pueden encriptar, proporcionando así una capa de seguridad añadida. En este sentido, y retomando la respuesta precedente, sólo el personal autorizado de RCA Systems, es decir personas que han aceptado, entendido y firmado un compromiso de confidencialidad, puede acceder a las copias de seguridad y siempre avisando previamente el cliente.

Conclusión

Para terminar, me gustaría hacer la siguiente reflexión. Tras la irrupción de la inteligencia artificial en nuestra sociedad cada vez son más los profesionales y sectores enteros que emplean funciones concretas de esta tecnología en el desarrollo de sus labores.

Veamos lo que ocurriría si un responsable del cumplimiento del capítulo relativo al secreto profesional y el RGPD de una profesión afectada, como las que hemos mencionado previamente, realizase una consulta general a, por ejemplo, chatGPT.

La consulta mostrada se realizó el 20 de julio de 2025 sin ofrecer información previa relacionada con este asunto.