Directrices CCBE sobre el uso de cloud computing por abogados

Autor: Ricardo Scarpa
Fecha: 13 Febrero 2026
Documento: Directrices CCBE sobre el uso de cloud computing por abogados
Estándares: Metodología IRAC - Harvard Law School

---

I. RESUMEN EJECUTIVO

Las Directrices CCBE de 2025 sobre cloud computing constituyen un documento de orientación profesional que actualiza las recomendaciones previas de 2012 en respuesta a cambios legislativos significativos, evolución tecnológica y transformación de la práctica jurídica. El documento, dirigido a las barras y colegios profesionales miembros del CCBE, identifica y aborda los riesgos fundamentales derivados de la externalización de datos y servicios informáticos en proveedores de terceros, particularmente cuando estos se ubicaban fuera del espacio jurídico UE/EEA.

Hallazgos clave: El análisis revela que el 42.5% de las empresas europeas utilizaban servicios de cloud computing en 2023, mientras que en Estados Unidos la adopción por abogados pasó del 60% al 70% entre 2022 y 2023. Las Directrices articulan dos obligaciones profesionales fundamentales —confidencialidad y competencia técnica— como pilares del cumplimiento, estableciendo una estructura de diez recomendaciones operativas que integran requisitos del Reglamento General de Protección de Datos (RGPD), legislación de ciberseguridad emergente, y principios deontológicos establecidos.

La relevancia jurídica del documento es binaria: por una parte, codifica estándares profesionales aspiracionales que, sin ser vinculantes, establecen el benchmark normativo de diligencia profesional; por otra, traduce obligaciones legales dispersas en diferentes instrumentos normativos (RGPD, Directiva NIS2, Reglamento de IA, entre otros) en guidance operativa específicamente calibrada para la profesión jurídica.

---

II. MARCO NORMATIVO APLICABLE

A. Normativa Primaria Europea

1. Reglamento General de Protección de Datos (RGPD)

El RGPD (Reglamento UE 2016/679) constituye la piedra angular del régimen legal de tratamiento de datos personales en el contexto del cloud computing. Las Directrices CCBE lo invocan de manera extensiva, particularmente en relación con:

Principios de tratamiento (Art. 5 RGPD):

• Licitud, lealtad y transparencia
• Limitación de la finalidad
• Minimización de datos
• Exactitud
• Limitación del plazo de conservación
• Integridad y confidencialidad
• Responsabilidad

El documento reconoce que la externalización en cloud no dispensa al abogado (identificado como responsable del tratamiento) de estos principios, sino que genera obligaciones reforzadas de supervisión sobre el encargado (el proveedor de cloud).

Bases jurídicas (Art. 6 RGPD): Las Directrices implícitamente asumen que el tratamiento de datos de clientes por abogados se fundamenta en la ejecución de contrato (Art. 6.1.b) o interés legítimo (Art. 6.1.f), aunque reconocen la existencia de múltiples bases según contextos específicos.

Transferencias internacionales (Capítulo V RGPD): Este aspecto recibe tratamiento especial. Las Directrices citan explícitamente los dictámenes Schrems I y Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), reconociendo la invalidación de la Privacy Shield y la imposición de requisitos adicionales mediante las Cláusulas Contractuales Estándar (CCE).

2. Directiva de Redes e Información (NIS2)

La Directiva UE 2022/2555 establece medidas de ciberseguridad de alto nivel común. Aunque no mencionada explícitamente en las Directrices CCBE, el documento alude a legislación sobre ciberseguridad a nivel de UE que genera obligaciones de seguridad de la información (Recomendación 5).

3. Reglamento de Inteligencia Artificial

Las Directrices CCBE reconocen que cloud computing nowadays is not just about the storage of data but also about the provision of IT services which run in the cloud —una formulación que anticipa la convergencia entre servicios de cloud y sistemas de IA. Ello es relevante particularmente para servicios como asistentes de redacción, herramientas de traducción automática y análisis predictivo.

4. Ley de Resiliencia Cibernética (Cyber Resilience Act)

El CRA, dirigido a mejorar la ciberseguridad de productos y servicios con componentes digitales, genera obligaciones indirectas para proveedores de infraestructuras cloud.

B. Normativa de Desarrollo Española

LOPDGDD y Regulación Profesional

La referencia es implícita. El régimen español de protección de datos (Ley Orgánica 3/2018) transpone el RGPD e introduce disposiciones específicas. Crucialmente, la regulación deontológica española a través de Estatutos profesionales de colegios profesionales establece obligaciones de confidencialidad que se superponen con las del RGPD.

C. Principios de Derecho Europeo Fundamental

Las Directrices anclan el análisis en dos derechos fundamentales del Carta de Derechos Fundamentales de la Unión Europea:

• Artículo 7: Derecho a la vida privada
• Artículo 8: Protección de datos personales
• Artículo 47: Derecho a la tutela judicial efectiva (implícito en el derecho a asesoramiento jurídico confidencial)

El reconocimiento de que if the right to confidential communications with lawyers is not ensured, clients may lack the trust to fully disclose the information necessary for the lawyer to provide accurate legal advice fundamenta la estructura de seguridad propuesta como condición de acceso a la justicia.

D. Jurisprudencia del TJUE

Schrems II (Sentencia C-311/18, 16 de julio de 2020):

Las Directrices citan expresamente este dictamen como punto de referencia crítico para transferencias de datos a terceros países. El TJUE invalidó la Privacy Shield y reforzó los requisitos para Standard Contractual Clauses (CCE), requiriendo que the level of protection provided for in the SCCs should be supplemented by additional safeguards.

El dictamen es especialmente relevante para las obligaciones de abogados que utilicen proveedores estadounidenses, requiriendo: (i) análisis individual de si las leyes del país de destino socavan la protección (Art. 46 RGPD); (ii) implementación de medidas complementarias tales como encriptación de extremo a extremo o pseudonimización; (iii) decisión de suspender la transferencia si las medidas resultan insuficientes.

Principio de Confidencialidad Abogado-Cliente (Jurisprudencia TJUE):

Las Directrices invocan the protection of confidentiality of lawyer-client communications is recognised as a general principle of EU law by the European Court of Justice. Este principio, aunque no está codificado en un solo dictamen, emerge de la jurisprudencia consistente del TJUE en casos como Akzo Nobel (C-550/07) y posteriores.

---

III. ANÁLISIS CRÍTICO DEL CONTENIDO Y RELEVANCIA JURÍDICA

A. Estructura y Enfoque General

Las Directrices adoptan una estructura de guidance más que de hard law vinculante. Esta arquitectura es deliberada: los Barras y Colegios Profesionales (destinatarios formales) deben adaptar las Directrices a sus contextos nacionales específicos. Sin embargo, el contenido genera un estándar de facto que será invocado en contextos de responsabilidad profesional, disciplinarios y de compliance.

Relevancia jurídica: Las Directrices funcionan como soft law de máxima autoridad dentro del ecosistema jurídico europeo. Aunque no son vinculantes legalmente, su incumplimiento podría evidenciar negligencia profesional o incumplimiento de obligaciones deontológicas.

B. Las Dos Obligaciones Profesionales Fundamentales

1. Confidencialidad

El análisis de las Directrices en este punto es correcto pero incompleto. El documento articula correctamente que:

• La confidencialidad es deber y derecho del abogado
• Se aplica a información del cliente, documentos y comunicaciones
• Protege any and all information about a client or a client matter
• Aplica irrespective of the source of such information

Laguna identificada: Las Directrices no abordan explícitamente la cuestión de si ciertos tratamientos de datos en cloud (metadatos, logs de acceso, análisis forense) generan obligaciones de confidencialidad secundarias sobre el proveedor. La Recomendación 8 (Knowing how data is processed) toca esta cuestión tangencialmente pero no la resuelve.

Implicación: Un abogado que utilice un servicio de cloud computing que recopile, analice o utilice metadatos de comunicaciones cliente-abogado para propósitos secundarios (por ejemplo, marketing, mejora de algoritmos, inteligencia competitiva) podría vulnerar confidencialidad incluso si los datos sustantivos están encriptados. Las Directrices deberían ser más explícitas en este punto.

2. Competencia Técnica Profesional

La invocación de competencia técnica como deber profesional fundamental es innovadora y tiene importantes implicaciones. Las Directrices establecen que:

• La competencia abarca continuous rapid change of the law and technological environment
• Implica obligación de become knowledgeable about a technical product to be used for professional activities
• La evaluación y mitigación de riesgos forma parte de las obligaciones de competencia

Análisis crítico: Esta formulación invoca un estándar de due diligence que podría resultar exigente. Un abogado que incumpla en:

• No realizar evaluación de riesgos del proveedor de cloud
• No comprender términos contractuales de uso
• Desconocer dónde se procesan datos
• Fallar en implementar medidas de seguridad

...potencialmente incumpliría no solo normas de protección de datos sino también obligaciones deontológicas fundamentales. Esto es más exigente que el estándar previo de usar las herramientas disponibles.

C. La Estructura de Diez Recomendaciones Operativas

Recomendación 1: Análisis y evaluación de riesgos

Contenido: It is important for lawyers to analyse and assess the risks of specific products and services that they intend to use.

Análisis: Esta recomendación introduce un estándar de due diligence que, aunque razonable, no especifica:

• Qué nivel de análisis es requerido (técnico profundo vs. revisión de documentación)
• Quién debe realizarlo (abogados, especialistas externos)
• Documentación requerida de tal análisis
• Periodicidad de reevaluación

Debilidad: La implementación en pequeños bufetes de abogados podría resultar desproporcionada. Las Directrices reconocen que the sources of risks to be evaluated, the details of such evaluation and the possible measures for mitigating the risks depend on both the type and size of law firm pero no proporcionan clarificación específica para pequeñas prácticas.

Recomendación 2: Cumplimiento normativo

Contenido: Combina RGPD, normas deontológicas nacionales y consideraciones de transferencias internacionales.

Fortaleza: La inclusión de obligaciones de notificación de incidentes de seguridad (notification of any data breaches) es crucial.

Debilidad: La referencia a applicable deontological rules es nacional, no armonizada. Una abogada española operando en cloud europeo podría estar sujeta a normas conflictivas de múltiples jurisdicciones sin claridad sobre su articulación jerárquica.

Recomendación 3: Seguimiento de guidance existente

Las Directrices CCBE previamente publicadas forman un corpus coherente:

• Guía sobre confidencialidad en vigilancia (2016)
• Guidance sobre seguridad IT contra vigilancia (2016)
• Guía sobre plataformas jurídicas online (2018)
• Guía sobre IA (2022)
• Guidance sobre herramientas de trabajo remoto (2020)

Análisis: La acumulación de guidance especializada crea tanto claridad como complejidad. Un abogado debe estar familiarizado con múltiples documentos para cumplimiento comprehensivo. Esto podría requerir inversión significativa en compliance interno.

Recomendación 4: Seguridad de la Información

Contenido: Las Directrices citan estándares ISO/IEC 27001, 27017, 27018, 27036-4 y SOC2.

Análisis técnico-jurídico:

• ISO/IEC 27001:2022 es el estándar fundamental de sistemas de gestión de seguridad de la información
• ISO/IEC 27017:2015 es específico para servicios de cloud
• ISO/IEC 27018:2019 aborda protección de información identificable personal en clouds públicos

La mención de estándares crea una barrera para cumplimiento: los proveedores de cloud que no posean estas certificaciones generan un riesgo de compliance aumentado. Para bufetes pequeños, esto puede limitar opciones disponibles.

Recomendación específica importante: Lawyers must be mindful to periodically review certification status (for ISO) or request new attestations (for SOC2).

Esto implica obligación de vigilancia continuada, no simplemente confianza en certificaciones históricas.

Recomendación 5: Vetting del Proveedor

La Recomendación 6 (numeración de las Directrices) proporciona la estructura más detallada de due diligence:

Factores a considerar:

1. Disponibilidad y calidad de soporte técnico
2. Estabilidad financiera del proveedor
3. Calidad y transparencia de información técnica
4. Transparencia sobre subcontratistas
5. Cumplimiento de certificaciones y códigos de conducta
6. Identidad de subcontratistas y alcance de servicios
7. Términos contractuales específicos

Análisis de la Recomendación 6:

El documento identifica several broad types of information that should be taken into account pero no jerarquiza su importancia relativa. Para un abogado evaluando proveedores, esto crea ambigüedad: ¿cuáles son criterios de rechazo, cuáles meramente factores de riesgo?

Subcomponentes contractuales clave articulados:

• Backups periódicos con seguridad física y lógica
• Mecanismos de autenticación
• Encriptación de datos almacenados
• Registro de accesos
• Auditoría de seguridad por terceros
• No uso de datos de usuarios para propósitos secundarios
• Jurisdicción y resolución de disputas
• Limitación de responsabilidad
• Penalizaciones por incumplimiento de SLA
• Términos de terminación y portabilidad de datos

Debilidad crítica: Muchos proveedores SaaS estándar (especialmente los más pequeños) no ofrecen todos estos términos. Las Directrices no distinguen explícitamente entre requisitos indispensables y deseables. Esto crea riesgo de que abogados rechacen proveedores por no cumplir todo el checklist, incluso cuando un subconjunto de medidas sería adecuado.

Recomendación 6: Localización del Procesamiento

Contenido: Lawyers must know where and how client data is processed.

Las Directrices establecen que abogados deben:

• Verificar permisibilidad legal de almacenamiento fuera del bufete
• Entender diferencias de protección de datos por jurisdicción
• Verificar mecanismos de transferencia utilizados (Schrems II, CCE, Binding Corporate Rules, certificaciones)

Análisis crítico: Aquí las Directrices proporcionan guidance técnico-jurídico de alto valor pero introducen complejidad significativa. La post-Schrems II, transferencias a EE.UU. requieren no simplemente CCE sino additional measures (encriptación end-to-end, pseudonimización) cuya implementación técnica puede requerir especialización.

Recomendación importante pero subexplorada: Lawyers should regularly monitor the relevant updates on legislation, case law and other information to stay updated on their obligations.

Esto implica obligación de monitoreo de fallos como la Sentencia de la Comisión Irlandesa de Protección de Datos o del TJUE que podrían invalidar mecanismos de transferencia existentes. Para abogados sin especialización en data privacy internacional, esto es exigente.

Recomendación 7: Procesamiento de Datos

La Recomendación 8 de las Directrices (numeración) advierte sobre even the simplest apps and solutions can include third-party data processing and further use. These can include text editing assistants, translation, image editing, etc.

Implicación: Un abogado que utilice ChatGPT para redacción, herramientas de traducción automática, o editores colaborativos en cloud podría estar externalizando datos de clientes a terceros sin evaluación explícita. Las Directrices aún no resuelven si esto constituye vulneración de confidencialidad o simplemente transferencia que requiere transparencia.

Laguna relevante: Las Directrices no abordan explícitamente la cuestión de LLMs (Large Language Models) entrenados con datos del cliente. Si un abogado utiliza un modelo de IA que procesa datos de casos confidenciales para entrenar o mejorar el modelo, ¿cuál es el estatus jurídico de tal procesamiento bajo el RGPD?

Recomendación 8: Continuidad de la Práctica

La Recomendación 9 introduce un análisis sofisticado de resilencia operativa:

Componentes:

1. Categorización de datos críticos: Establecer Recovery Point Objective (RPO) —intervalo máximo aceptable entre backups
2. Acceso local a datos críticos: Mantener copias actualizadas de datos más recientes (mediante IMAP, POP, .OST para email)
3. Conectividad alternativa: Proveedores de internet alternativos, acceso mobile, preparación para blackouts generalizados

Análisis: Esta recomendación es novedosa y prácticamente valiosa. Reconoce que cloud computing crea dependencias técnicas que podrían comprometer disponibilidad de servicios jurídicos. La mención específica de deleting copies on one device may result in their deletion from other devices linked to the same synchronised folder system evidencia conocimiento detallado de riesgos operacionales.

Debilidad: Las recomendaciones sobre continuidad no se integran explícitamente con obligaciones profesionales. ¿Un abogado que pierda acceso a datos de clientes por fallo de cloud pero que no posea backup local incumple obligaciones profesionales más allá de responsabilidad civil/penal?

Recomendación 9: Cobertura Asegurador

La Recomendación 10 introduce cover de ciberseguridad (cyber insurance) como medida de mitigación de riesgos.

Análisis: Esto crea un nuevo nivel de compliance: abogados deben no simplemente implementar medidas técnicas sino también asegurarse contra sus fallos. Esto es económicamente significativo y desproporcionado para pequeños bufetes.

---

IV. CONCEPTOS FUNDAMENTALES EXPLICADOS

A. Cloud Computing: Definiciones y Modelos

Las Directrices deliberadamente evitan proporcionar una definición nueva de cloud computing, reconociendo la fragmentación entre definiciones técnicas (NIST) y jurídicas (ISO, Directiva de Servicios Digitales).

La definición NIST (National Institute of Standards and Technology) de 2011 que las Directrices citan establece:

Cloud computing enables ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

Relevancia para abogados: Esta definición enfatiza:

1. Accesibilidad ubicua: Disponibilidad desde cualquier ubicación
2. Bajo esfuerzo de gestión: Tercero gestiona infraestructura
3. Aprovisionamiento rápido: Facilita escalabilidad pero reduce control
4. Recursos compartidos: Plantea riesgos de seguridad y aislamiento de datos

Las Directrices reconocen evolución reciente donde cloud no es simplemente almacenamiento sino provision of IT services which run in the cloud, instead of local server maintained by the user... including lawyers and law firms' personnel (e.g. messaging services for communication with clients, videoconferencing tools, etc.).