Confidencialidad en reuniones cliente-abogado: obligaciones RGPD y secreto profesional

Publicado el 1 de agosto de 2026 por Ana Isabel Bejarano Pérez, abogada colegiada ICAM 97729. En paralelo al secreto profesional, los despachos abiertos afrontan riesgos de ruido laboral que pueden obligar a revisar las medidas preventivas del puesto.

La confidencialidad entre abogado y cliente no es un simple compromiso ético: es una obligación legal reforzada cuya infracción puede acarrear sanciones disciplinarias, multas cuantiosas impuestas por la Agencia Española de Protección de Datos (AEPD) y, en casos extremos, responsabilidad penal. Desde nuestro despacho en Plasencia hemos constatado cómo la progresiva hibridación de los espacios de trabajo jurídico (salas compartidas, coworking, despachos de planta abierta) introduce riesgos nuevos que la normativa tradicional aborda de forma incompleta. El presente artículo analiza el marco legal aplicable y las medidas técnicas y organizativas que el abogado debe adoptar para cumplir simultáneamente con el secreto profesional y el Reglamento General de Protección de Datos. Estas medidas conviven con las obligaciones de prevención de ruido laboral que la Ley 31/1995 impone a cualquier centro de trabajo.

La cuestión no es meramente teórica. La AEPD ha resuelto en los últimos años diversos procedimientos sancionadores en los que la falta de aislamiento acústico de las salas de reunión, la conversación telefónica audible desde zonas comunes o la ausencia de barreras físicas adecuadas en despachos de planta abierta han dado lugar a infracciones del artículo 32 del RGPD. Para los profesionales de la abogacía, estas resoluciones operan como precedente obligado: el cliente que comunica datos especialmente sensibles tiene derecho a que esa información no sea percibida por terceros.

El secreto profesional: un deber inviolable consagrado en la LOPJ

El artículo 542.3 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ) establece con claridad meridiana que «los abogados deberán guardar secreto de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos». Este deber se reitera y desarrolla en el artículo 5 del Estatuto General de la Abogacía Española, aprobado por Real Decreto 135/2021, de 2 de marzo, que configura el secreto profesional como derecho y deber primordial del abogado, proyectado sobre toda la relación con el cliente, incluidas las comunicaciones previas a la formalización del encargo.

El alcance del deber es amplísimo: abarca hechos, documentos, confidencias verbales, correspondencia, comunicaciones electrónicas y cualquier otra información obtenida en el ejercicio profesional. La Sala Segunda del Tribunal Supremo ha reiterado que el secreto profesional no solo protege al cliente frente a la revelación voluntaria, sino también frente a la revelación por omisión de diligencia, cuando el abogado no adopta las cautelas razonables para preservar la reserva.

Resulta relevante subrayar que este deber no decae ni con la finalización del encargo, ni con el fallecimiento del cliente, ni siquiera cuando la información pudiera favorecer al propio abogado en un litigio. Su incumplimiento puede sancionarse disciplinariamente por el Colegio de Abogados correspondiente y, si concurren los elementos del tipo, penalmente al amparo del artículo 199.2 del Código Penal, que castiga con pena de prisión de uno a cuatro años la revelación de secretos ajenos por profesional obligado a guardarlos.

El RGPD y la seguridad física de las comunicaciones: artículo 32

Al deber deontológico se superpone la obligación derivada del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El despacho de abogados es, a efectos del RGPD, responsable del tratamiento de los datos personales de sus clientes, que frecuentemente incluyen categorías especiales del artículo 9 (salud, ideología, orientación sexual, condenas penales) cuya protección se refuerza.

El artículo 32 RGPD impone al responsable «aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». Entre los ejemplos que el propio precepto enumera figura, de forma no exhaustiva, la capacidad de garantizar la confidencialidad permanente de los sistemas y servicios de tratamiento. La doctrina de la AEPD y del Comité Europeo de Protección de Datos (CEPD) ha asentado que la seguridad del artículo 32 no se limita a la dimensión informática: comprende también la seguridad física, incluida la protección acústica y visual del espacio donde se tratan los datos.

«La barrera acústica es, en los despachos profesionales, tan exigible como la contraseña robusta en los sistemas informáticos: ambas pertenecen al mismo principio de integridad y confidencialidad del artículo 5.1.f RGPD.»

La LOPDGDD, en su artículo 32, complementa el régimen europeo al exigir que el responsable tenga en cuenta los estándares y códigos de conducta profesionales. Para el sector jurídico, ello conecta directamente con la normativa colegial: la sala de reuniones que filtra conversaciones al pasillo no cumple ni con el secreto profesional ni con el RGPD.

Riesgos prácticos en despachos compartidos y coworking jurídico

La realidad actual del ejercicio profesional dista mucho del modelo clásico de despacho individual con puerta maciza. Cada vez más abogados, en especial jóvenes colegiados y profesionales en régimen de colaboración, operan desde espacios de coworking, oficinas compartidas o salas contratadas por horas. Esta movilidad, aunque económicamente racional, introduce vulnerabilidades específicas que exigen análisis riguroso.

Los riesgos más frecuentes identificados en la práctica son los siguientes:

• Tabiquería ligera y transmisión acústica: los despachos modernos tienden a emplear mamparas de yeso laminado de escaso espesor que ofrecen un aislamiento acústico insuficiente. Una conversación a volumen normal puede ser perfectamente inteligible en la estancia contigua.
• Zonas de espera sin compartimentación: cuando un cliente aguarda turno en un área común contigua a la sala de reuniones, puede escuchar, aun involuntariamente, detalles del asunto que se trata en el interior.
• Conversaciones telefónicas en espacios abiertos: llamadas con clientes en open spaces o salas de coworking exponen información confidencial a terceros no vinculados por ningún deber de reserva.
• Videoconferencias sin aislamiento: el auge del asesoramiento telemático ha multiplicado las situaciones en las que el abogado mantiene videollamadas desde espacios compartidos, con el doble riesgo de filtración de audio propio y de información ajena captada por el micrófono.
• Uso de auriculares como solución aparente: si bien evitan la filtración del audio entrante, no impiden que la voz del abogado (única parte audible de la conversación) revele datos identificativos del cliente o del asunto.

Estos riesgos se amplifican cuando el despacho opera bajo régimen de arrendamiento o cesión temporal del espacio, pues el control efectivo sobre la configuración acústica es limitado. La AEPD ha resuelto varios expedientes sancionadores contra responsables del tratamiento por deficiencias análogas en otros sectores (sanitario, financiero, consultoría), siendo especialmente relevante el criterio según el cual la insonorización es una medida exigible y no facultativa cuando se traten datos sensibles de forma habitual.

Medidas técnicas exigibles: del aislamiento de sala a las cápsulas acústicas

El cumplimiento del artículo 32 RGPD y del deber de secreto profesional exige un enfoque escalonado de medidas técnicas, proporcionado al volumen y sensibilidad de los datos tratados. Conviene recordar que el artículo 32.1 RGPD impone ponderar «el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento», por lo que no existe una solución única: cada despacho debe diseñar su propia arquitectura de seguridad física.

La jerarquía de medidas recomendada en la literatura técnica y en los criterios de inspección de la AEPD es la siguiente:

1. Sala de reuniones específica con aislamiento certificado: es la solución óptima cuando el despacho dispone de espacio propio. Debe contar con tabiques de al menos 45 dB de aislamiento a ruido aéreo (Rw) y puertas acústicas de clase 2 o superior.
2. Tratamiento acústico de salas existentes: cuando no se puede intervenir sobre la estructura, cabe instalar paneles absorbentes, dobles puertas, sellados perimetrales y sistemas de enmascaramiento sonoro (sound masking) en las zonas adyacentes.
3. Cabinas acústicas modulares: para despachos en espacios compartidos o con superficie limitada, las cabinas prefabricadas proporcionan un espacio aislado certificado sin necesidad de obras. Para reuniones breves con clientes o videoconferencias confidenciales, una phone booth oficina permite al letrado disponer de un entorno con aislamiento validado en laboratorio, que se instala en pocas horas y se puede reubicar en caso de traslado de oficina.
4. Protocolos organizativos: las medidas técnicas deben complementarse con pautas escritas sobre volumen de voz, ubicación de reuniones sensibles, prohibición expresa de llamadas sobre datos de clientes desde zonas comunes y formación específica del personal administrativo.
5. Gestión de terceros y visitantes: el protocolo debe prever el tránsito de visitantes, mensajería y proveedores por zonas de acceso controlado que no atraviesen áreas de tratamiento de datos sensibles.

La insonorización debe ser objeto de evaluación periódica, especialmente tras cualquier modificación del espacio, cambio de uso de salas o incorporación de nuevos puestos de trabajo. Es recomendable documentar las mediciones acústicas realizadas como prueba del cumplimiento diligente en caso de inspección. Esta documentación debe integrarse en el registro de actividades de tratamiento exigido por el artículo 30 RGPD, donde la insonorización se recogerá como medida técnica del artículo 32. En la práctica, el phone booth oficina —denominación anglosajona habitual en catálogos europeos— responde también al concepto de cabina insonorizada de una plaza, y es el formato que mejor se ajusta a despachos profesionales con requisitos estrictos de confidencialidad. La cabina insonorizada para una o dos personas es el formato habitual; en despachos con mayor afluencia pueden instalarse varias cabinas insonorizadas para oficinas compartidas.

La cuestión de la insonorización se conecta, además, con otros deberes empresariales como los analizados en nuestro artículo sobre protección de datos en oficinas abiertas, donde examinamos las implicaciones del RGPD para las configuraciones de planta abierta en general.

Responsabilidad disciplinaria y sancionadora del abogado que incumple

El incumplimiento de las obligaciones de confidencialidad puede desencadenar tres regímenes de responsabilidad simultáneos, de naturaleza diferenciada pero acumulable.

En primer lugar, la responsabilidad disciplinaria colegial, regulada en los artículos 122 a 129 del Estatuto General de la Abogacía Española. La vulneración del secreto profesional constituye infracción muy grave, sancionable con suspensión del ejercicio de entre tres meses y dos años o, en casos extremos, con expulsión del Colegio. Los Colegios de Abogados incoan expediente de oficio o a instancia del perjudicado, y sus resoluciones son recurribles ante el Consejo General de la Abogacía Española y, ulteriormente, ante la jurisdicción contencioso-administrativa.

En segundo lugar, la responsabilidad administrativa derivada del RGPD. Las sanciones del artículo 83 RGPD pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio anual total global del responsable, la cifra que sea superior. Para los despachos de abogados, que típicamente operan como personas jurídicas de dimensión reducida, la sanción efectiva se modula por el principio de proporcionalidad del artículo 83.2, pero aun así las multas impuestas por la AEPD en casos de deficiente seguridad física han oscilado históricamente entre 5.000 y 60.000 euros. A ello se añade la posible orden de cese de la conducta infractora y la publicación de la resolución sancionadora, con el consiguiente daño reputacional.

En tercer lugar, la responsabilidad civil frente al cliente perjudicado, tanto contractual (artículo 1.101 del Código Civil) como extracontractual (artículo 1.902), así como la posible responsabilidad penal del artículo 199.2 del Código Penal ya citada. La acumulación de estos regímenes hace que el coste real de un incumplimiento sea muy superior al de la inversión preventiva en medidas adecuadas.

Es conveniente recordar, adicionalmente, que los trabajadores del despacho pueden iniciar reclamaciones por condiciones acústicas inadecuadas cuando el ambiente sonoro no les permita desempeñar sus funciones con la concentración que exige el tratamiento de datos sensibles, conectando así la protección del cliente con la prevención de riesgos laborales del equipo profesional.

Conclusión: compatibilidad entre movilidad profesional y confidencialidad

La tensión entre las nuevas formas de ejercicio profesional —coworking, movilidad, oficinas flexibles— y las exigencias clásicas del secreto profesional no es insalvable. La normativa vigente, lejos de prohibir estos modelos organizativos, exige que el abogado adopte medidas proporcionadas al riesgo, documentadas y verificables. La inversión en aislamiento acústico adecuado, ya sea mediante obra convencional, cabinas modulares o tratamiento mixto, se amortiza rápidamente si se compara con las potenciales sanciones AEPD, las responsabilidades disciplinarias y la pérdida de confianza del cliente.

Las resoluciones recientes de la AEPD apuntan a un endurecimiento progresivo del estándar exigido, especialmente en sectores que manejan datos especialmente protegidos. Para el despacho de abogados, anticiparse a esta tendencia significa diseñar una política integral de confidencialidad que contemple no solo la ciberseguridad, sino también la seguridad física, acústica y visual de todos los espacios donde se trata información de clientes.

Si necesita evaluar las medidas de protección de datos y confidencialidad aplicables a su despacho, o si ha sufrido una filtración que considera imputable a la deficiente configuración del espacio profesional, puede solicitar una consulta con nuestro equipo. Analizaremos su caso específico y le propondremos un plan de cumplimiento ajustado a las características concretas de su actividad.