Secreto profesional y datos de direcciones: lo que dice la ley
Para la mayoría de las empresas, el RGPD es el principal marco que regula el tratamiento de datos personales. Para los abogados, médicos, notarios, asesores fiscales y una decena más de profesiones reguladas en España, ese marco es solo la mitad del cuadro. Por encima del RGPD se encuentra el artículo 199 del Código Penal: la revelación del secreto profesional. Mientras el RGPD impone sanciones administrativas a la entidad, el 199 CP prevé prisión de uno a tres años, multa e inhabilitación de dos a seis años contra la persona física que comete la infracción.
Lo que muchos profesionales infravaloran: el simple hecho de que una persona sea cliente de un despacho o paciente de una consulta ya está protegido. Un fichero de direcciones enviado a un servicio cloud para deduplicación puede constituir revelación, aunque no se transmita ningún dato sobre el asunto en concreto. La sola existencia de la relación profesional es ya un secreto.
¿Limpiar tu fichero de direcciones sin tocar el secreto profesional? ListenFix procesa los datos íntegramente en local, en tu propio equipo. Sin subida a la nube, sin transmisión a terceros. Descargar ListenFix gratis
¿Quién está obligado al secreto profesional?
El artículo 199 CP castiga a quien revele secretos ajenos de los que tenga conocimiento «por razón de su oficio o sus relaciones laborales» (apartado 1) y agrava la sanción cuando se trata de un profesional cuya actividad lleva aparejada una obligación legal de sigilo (apartado 2). Las profesiones afectadas con regulación específica incluyen, entre otras:
- Médicos, enfermeros, farmacéuticos y demás profesionales sanitarios (Ley 41/2002 de autonomía del paciente)
- Abogados (artículo 542.3 LOPJ y artículo 5 del Código Deontológico de la Abogacía Española)
- Procuradores, notarios, registradores
- Auditores de cuentas (Ley 22/2015), asesores fiscales y economistas
- Psicólogos clínicos y sanitarios (Código Deontológico del COP)
- Trabajadores sociales (Código Deontológico del Consejo General)
- Personal de entidades financieras (secreto bancario, normativa supervisora)
- Personal de las administraciones públicas en el ejercicio de sus funciones
- Ministros de culto
La obligación se extiende a todas las personas que intervienen en el ejercicio profesional: secretarías, asistentes, encargados de tratamiento técnicos. Cualquiera que tenga acceso a los datos en el marco de la prestación está sometido al mismo deber, y responde penalmente por su parte.
¿Es la dirección de un cliente realmente un secreto?
Es la pregunta más frecuente. La respuesta jurisprudencial es clara: sí, siempre que la lista pueda atribuirse a un despacho o profesional concreto. La Sala Segunda del Tribunal Supremo ha reiterado que el ámbito del secreto incluye no solo el contenido del asunto, sino también el propio hecho de la relación profesional. Que una persona acuda a un determinado abogado o psicólogo es información reservada por sí misma.
Casos habituales que se subestiman
Archivo: despacho_garcia_clientes_2026.xlsx
Contenido: 1.247 registros — Nombre, Dirección, Email
Este archivo está protegido por el secreto profesional. El nombre del fichero vincula a las personas a un despacho concreto. Subirlo a una herramienta cloud sin un encaje jurídico suficiente puede constituir revelación, aunque no se incluya información sobre los expedientes.
Archivo: psicologa_madrid_envio_navidad.csv
Contenido: Direcciones para la felicitación anual
Idéntica situación. El hecho de que una persona reciba atención psicológica es precisamente lo que normalmente quiere mantener reservado. El fichero queda íntegramente cubierto.
Sanciones: penal, civil y deontológico se acumulan
A diferencia del RGPD, el artículo 199 CP afecta a la persona física, no solo a la entidad.
| Aspecto | RGPD | Artículo 199 del Código Penal |
|---|---|---|
| Naturaleza de la sanción | Administrativa (AEPD) | Penal |
| Cuantía | Hasta 20 M EUR o 4 % del volumen de negocio | Prisión 1–3 años, multa, inhabilitación 2–6 años |
| Sujeto | Responsable del tratamiento | Persona física que revela |
| Vía | Denuncia AEPD, acción civil | Querella o denuncia penal, acción civil |
| Consecuencias profesionales | Indirectas | Inhabilitación, suspensión colegial posibles |
| Asegurabilidad | Parcial | El dolo no es asegurable |
| Prescripción | Hasta 3 años (acción AEPD) | Delito menos grave: 5 años |
A esto se suman las sanciones deontológicas: comisiones de deontología de los colegios profesionales (abogados, médicos, psicólogos, economistas, etc.). Los colegios actúan con independencia del proceso penal y pueden suspender el ejercicio profesional incluso sin sentencia firme.
¿Está prohibida la subcontratación?
No, pero está condicionada. Varios textos enmarcan la cuestión:
- Artículo 199 CP. Castiga la revelación. Toda transmisión a un tercero ajeno al ejercicio profesional la constituye, salvo amparo legal.
- RGPD, artículo 28 + LOPDGDD, artículo 33. Imponen contrato de encargo de tratamiento por escrito con el encargado, pero no levantan por sí solos la obligación penal de secreto.
- Normativa sectorial. Ley 41/2002 para datos de salud, normativa colegial para abogados, Ley 22/2015 para auditores, etc., regulan supuestos de cesión y comunicación.
- Esquema Nacional de Seguridad cuando entran en juego administraciones públicas.
En la práctica, para que la externalización tenga encaje jurídico hay que cumplir tres condiciones acumulativas: necesidad real de la subcontratación, compromiso escrito de confidencialidad del encargado y de cada uno de sus empleados con cita expresa del artículo 199 CP, y control efectivo y documentado por parte del profesional responsable.
Con un proveedor cloud internacional cuyas operaciones se reparten entre varios centros de datos y cuyo personal rota con frecuencia, esa cadena de compromisos resulta, en la práctica, muy difícil de acreditar de forma completa.
Tres opciones realistas para depurar un fichero de direcciones
Quien quiere deduplicar su fichero, detectar mudanzas y unificar tratamientos tiene tres caminos viables.
Opción 1: tratamiento interno con Excel o scripts propios
Ventaja: ningún tercero involucrado, el artículo 199 CP no entra en juego.
Inconveniente: Excel no detecta duplicados reales. «García López, Juan, Calle Gran Vía 45» y «GARCIA J. LOPEZ, Gran Via, 45» aparecen como personas distintas, pese a tratarse del mismo cliente. Sobre un fichero de 5.000 registros, el cotejo manual exige típicamente dos o tres jornadas-persona.
Opción 2: prestador externo con contrato de encargo + compromiso de secreto
Ventaja: algoritmos profesionales, carga interna reducida.
Inconveniente: preparación jurídica costosa. Hace falta un contrato de encargo conforme al artículo 28 RGPD y un compromiso escrito de secreto profesional firmado por cada empleado del prestador con acceso a los datos. Cada rotación de personal exige renovar el compromiso. La responsabilidad penal del profesional sigue activa en caso de fallo en el control.
Para una limpieza puntual, el coste jurídico supera al beneficio. Para flujos recurrentes y voluminosos puede compensar, siempre que el prestador acredite realmente la cadena de compromisos.
Opción 3: software local, ejecutado en tu equipo
Ventaja: los datos no salen del despacho. No hay tercero al que obligar al secreto, porque no hay revelación. El artículo 199 CP no se activa.
Inconveniente: necesitas un software que efectivamente trabaje en local, sin subida oculta de los ficheros ni telemetría con metadatos sensibles.
Para la mayoría de profesiones bajo secreto profesional esta tercera opción es la más sencilla, tanto jurídica como económicamente.
Cómo verificar que un software trabaja realmente en local
Varios proveedores se anuncian como «locales» sin serlo plenamente. Tres puntos merecen comprobación factual:
- Activación de licencia. Algunos programas suben al activar un fragmento del fichero o sus encabezados. Un análisis de tráfico de red (o una declaración escrita del fabricante) lo confirma.
- Telemetría. Aunque no se envíe el contenido, hay programas que transmiten metadatos: nombres de archivos, número de registros, marcas de tiempo. Sobre un fichero llamado
despacho_garcia_clientes.csv, el solo nombre del archivo puede revelar un secreto. - Actualizaciones. Solo deberían descargar código, nunca devolver datos al fabricante.
Para profundizar en el cumplimiento RGPD más allá del artículo 199, consulta nuestra guía Validación de direcciones: por qué las direcciones correctas valen su peso en oro y el artículo general Deduplicación de direcciones.
¿Cuánto cuesta una depuración compatible con el secreto profesional?
Notaría mediana: 1.800 clientes activos, 4.200 fichas históricas, dos envíos anuales (felicitación y carta informativa). Costes anuales sin depurar:
- 6.000 envíos × 0,75 EUR (Carta ordinaria, impresión incluida) = 4.500 EUR
- Tasa estimada de duplicados 7 % = 420 envíos innecesarios, 315 EUR perdidos
- Devoluciones por dirección obsoleta (3 %): 135 EUR de coste de gestión
- Pérdida total: alrededor de 450 EUR al año
Si la notaría usa la modalidad Publicorreo de Correos para envíos masivos (desde 0,22 EUR por envío bajo condiciones), el equilibrio cambia, pero el porcentaje de despilfarro permanece. Sobre 6.000 envíos a tarifa Publicorreo, el desperdicio por duplicados ronda los 92 EUR — pequeño en absoluto, pero pura pérdida sobre un margen ya estrecho.
Comparativa de soluciones:
| Solución | Coste inicial | Coste recurrente | Carga 199 CP |
|---|---|---|---|
| Excel manual | 0 EUR | 16 h ≈ 800 EUR | Ninguna |
| Prestador cloud | 250–700 EUR por lote | Por lote | Encargo + compromiso escrito por colaborador, control continuo |
| Software local | 70–150 EUR licencia | 0–99 EUR/año | Ninguna (sin revelación) |
Con estos volúmenes, la solución local resulta rentable desde el primer año frente a la prestación externa, sin asumir el riesgo penal del secreto profesional.
Plan de acción práctico
Un protocolo simple para un despacho:
- Inventariar los ficheros. ¿Qué listas existen y dónde? Habitualmente repartidas entre el software de gestión, los contactos de Outlook, antiguos Excel y bases de envíos.
- Calificar la sensibilidad. Toda lista vinculable a un despacho identificable está cubierta. También los meros listados de destinatarios de felicitación.
- Elegir la vía. Interna con ofimática, software local especializado o prestador externo con compromiso completo de secreto. Esta última solo compensa con flujos importantes y recurrentes.
- Ejecutar la depuración. Deduplicación tolerante a erratas, normalización de direcciones (formato Correos), marcado en lugar de borrado de fichas dudosas.
- Documentar el resultado. Qué fichas se han fusionado, cuáles eliminado. Esa trazabilidad es valiosa ante una solicitud de derecho de acceso RGPD.
Lo esencial
El artículo 199 del Código Penal no es un obstáculo burocrático: protege la confianza que los clientes depositan en sus abogados, médicos o asesores. Esa confianza se traduce en una regla operativa simple: cuanto menos sale el fichero del despacho, mejor se duerme.
Las herramientas cloud rara vez son la vía más rápida para un profesional sometido al secreto, y a menudo son la más compleja jurídicamente. Un software que trabaja en local resuelve el problema de raíz, porque no se produce revelación alguna. Para la mayoría de despachos, es el equilibrio evidente, tanto en lo jurídico como en lo económico.
Limpia tus direcciones — pruébalo ahora
ListenFix detecta significativamente más duplicados que Excel gracias al fuzzy matching. 100% sin conexión, compatible con RGPD.
Probar gratis