¿Cuá es el objeto de la ley de protección de datos personales en el ámbito policial y judicial penal?
La Ley Orgánica 7/2021, de 26 de mayo de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales; transpuso la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 .
La Ley Orgánica 7/2021, de 26 de mayo (i) regula el tratamiento de datos personales de personas físicas por las autoridades competentes (ii) con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública (artículo 1 Ley Orgánica 7/2021, de 26 de mayo).
La autoridad competente es definida como «toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales con alguno de los fines» ya indicados. Y, en particular, son consideradas como autoridades competentes, en su respectivo ámbito, competencial, las siguientes (artículo 4 Ley Orgánica 7/2021, de 26 de mayo):
- a) Las Fuerzas y Cuerpos de Seguridad;
- b) Las Administraciones Penitenciarias;
- c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria;
- d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias;
- e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo, y
- f) Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.
¿Cuál es el ámbito de aplicación de la ley de protección de datos personales en el ámbito policial y judicial penal?
Por lo que se refiere al ámbito de aplicación de la Ley Orgánica 7/2021, de 26 de mayo, esta se aplica al tratamiento (i) total o parcialmente automatizado de datos personales (ii) no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero (iii) realizado por las autoridades competentes, y (iv) con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Quedará también sujeto a la Ley Orgánica 7/2021, de 26 de mayo el tratamiento de datos personales para la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, cuando se lleve a cabo en el ámbito de aplicación de aquélla. No obstante, serán también aplicables a este tratamiento las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.
Y quedan excluidos del ámbito de aplicación de la Ley Orgánica 7/2021, de 26 de mayo los tratamientos de datos que:
- a) Realicen las autoridades competentes para fines distintos de los previstos en el artículo 1, incluidos los fines de archivo por razones de interés público, investigación científica e histórica o estadísticos.
Estos tratamientos quedan sujetos al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- b) Lleven a cabo los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito de aplicación del capítulo II del título V del Tratado de la Unión Europea.
- c) Afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.
- d) Estén sometidos a la normativa sobre materias clasificadas, entre los que se encuentran los tratamientos relativos a la Defensa Nacional.
- e) Sean realizados en las acciones civiles y procedimientos administrativos o de cualquier índole vinculados con los procesos penales que no tengan como objetivo directo ninguno de los fines del artículo 1 Ley Orgánica 7/2021, de 26 de mayo.
- f) Se refieran a personas fallecidas, sin prejuicio de lo previsto en la propia Ley Orgánica 7/2021, de 26 de mayo, sobre la posibilidad de solicitar el acceso, rectificación o supresión de los datos de las personas fallecidas (artículo 3 Ley Orgánica 7/2021, de 26 de mayo).
¿Cuáles son los principios y licitud del tratamiento de los datos personales en el ámbito penal?
El tratamiento de los datos personales objeto de la Ley Orgánica 7/2021, de 26 de mayo tendrá que cumplir con los principios y condiciones de licitud previstos en esta.
En cuanto a los principios aplicables al tratamiento, los datos personales serán tratados de manera lícita y leal; adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados; exactos y, si fuera necesario, actualizados; conservados únicamente durante el tiempo necesario y tratados de manera que se garantice una seguridad adecuada.
Y las condiciones de licitud se refieren a los plazos de conservación y revisión, distinción entre categorías de interesados, verificación de la calidad de los datos personales, licitud del tratamiento, condiciones específicas del tratamiento, tratamiento de categorías especiales de datos personales y mecanismo de decisión individual automatizado.
Junto a los principios y condiciones de licitud del tratamiento se incluye el deber de colaboración de Administraciones públicas, personas físicas y jurídicas, de proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas.
También se prevén las obligaciones con las que tienen que cumplir el responsable y el encargado, entre las que se encuentran la relativa a la seguridad de los datos. Y se incluyen disposiciones sobre el delegado de protección de datos, cuya designación tendrá que ser comunicada a la autoridad competente, así como el régimen aplicable a las transferencias internacionales de datos, que sigue el previsto en el RGPD.
¿Qué particularidades recoge la ley en materia de la videovigilancia realizada por las Fuerzas y Cuerpos de Seguridad?
El uso de dispositivos de grabación de imágenes y sonidos, entre los que se encuentra la videovigilancia, para los fines de la Ley Orgánica 7/2021, de 26 de mayo tiene un régimen específico en esta. En concreto, la Ley regula instalación de sistemas fijos de videovigilancia en vías o lugares públicos, que requerirá valorar el principio de proporcionalidad por lo que se refiere a la idoneidad e intervención mínima; el uso de dispositivos móviles para la toma de imágenes y sonidos, así como el tratamiento y conservación de imágenes.
En cualquier caso, los criterios a tener en consideración en la instalación de sistemas de grabación de imágenes y sonidos serán los de (i) asegurar la protección de los edificios e instalaciones propias; (ii) asegurar la protección de edificios e instalaciones públicas y de sus accesos que estén bajo custodia; (iii) salvaguardar y proteger las instalaciones útiles para la seguridad nacional y prevenir, detectar o investigar la comisión de infracciones penales y (iv) la protección y prevención frente a las amenazas contra la seguridad pública.
La Ley Orgánica 7/2021, de 26 de mayo incluye también un régimen disciplinario específico para las infracciones por los miembros y Fuerzas y Cuerpos de Seguridad. En virtud de este régimen, los miembros de las Fuerzas y Cuerpos de Seguridad, sin perjuicio de las responsabilidades penales en las que pudieran incurrir, serán sancionados en virtud del régimen disciplinario que les sea aplicable y, en su defecto, al régimen general de sanciones en materia de protección de datos de carácter personal establecido en esta Ley. Entre las infracciones muy graves se incluyen alterar o manipular los registros de imágenes y sonidos, si no constituye delito, así como reproducir las imágenes y sonidos para fines distintos de los previstos en esta Ley.
¿Cuáles son los derechos de las personas según la ley de datos personales en el ámbito penal?
En relación con los derechos de las personas, la Ley Orgánica 7/2021, de 26 de mayo prevé tanto un régimen general como específico.
En el régimen general se incluyen las condiciones generales para el ejercicio de los derechos, con las que tendrá que cumplir el responsable del tratamiento, así como los derechos de información, acceso, rectificación, supresión y limitación del tratamiento de los datos personales.
Además, como parte de este régimen general se prevén restricciones al ejercicio de los derechos que, según el caso, pueden consistir en (i) el aplazamiento, limitación u omisión de información adicional como puede ser la base de legitimación del tratamiento o el plazo de conservación de los datos (artículo 21.2 Ley Orgánica 7/2021, de 26 de mayo), o (ii) la denegación total o parcial de las solicitudes de ejercicio de derechos (iii) siempre que, teniendo en cuenta los derechos fundamentales y los intereses legítimos de la persona afectada, resulte necesario y proporcional para conseguir alguno de los fines previstos, tales como impedir que se obstaculicen investigaciones o procedimientos judiciales, proteger la seguridad nacional o los derechos y libertades de otras personas.
El régimen específico tiene por objeto los derechos de los interesados como consecuencia de investigaciones y procesos penales. En este caso el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento (a) queda sujeto a las normas procesales penales cuando los datos personales figuren en una resolución judicial, o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales, y (b) se realizará conforme a la Ley Orgánica 6/1985, de 1 de julio, en las normas procesales y en su caso, el Estatuto Orgánico del Ministerio Fiscal, cuando los datos personales sean objeto de un tratamiento con fines jurisdiccionales del que sea responsable un órgano del orden jurisdiccional penal, o el Ministerio Fiscal.
¿Cuáles son las autoridades de protección de datos independientes, las infracciones y sanciones que recoge la ley de protección de datos en el ámbito penal?
Las autoridades de protección de datos independientes previstas en la Ley Orgánica 7/2021, de 26 de mayo son, en sus respectivos ámbitos competenciales, la Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas de protección de datos, en este último caso exclusivamente en relación a aquellos tratamientos de los que sean responsables en su ámbito de competencia y conforme a lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales así como en sus normas de creación y de desarrollo.
La Ley Orgánica 7/2021, de 26 de mayo también incluye sus funciones, potestades y asistencia con otras autoridades de protección de datos de datos de los Estados miembros de la Unión Europea. Además, se prevé el régimen aplicable a las reclamaciones ante estas; el derecho a indemnización tanto por entes del sector público como por encargados del tratamiento del sector privado y la tutela judicial efectiva.
En cuanto a las infracciones y sanciones, se incluyen los sujetos responsables; las infracciones, que pueden ser muy graves, graves y leves, así como las sanciones, que cuando no sean alguno de los sujetos previstos en el artículo 77.1 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, tales como los órganos jurisdiccionales, podrían ser sancionados con multa de hasta un (1) millón de euros en el caso de infracciones muy graves.
Recuerde que…
- • La Ley Orgánica 7/2021, de 26 de mayo regula el tratamiento de datos personales por autoridades policiales y judiciales competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
- • En el tratamiento de datos con estos fines se tendrá que ser conforme a los principios y condiciones de licitud, atender los derechos de las personas y cumplir con los requisitos para transferencias internacionales si se llevan a cabo.
- • En cuanto al régimen sancionador se incluyen infracciones que, en el caso de determinados infractores, podrían dar lugar a una multa de un millón de euros para las muy graves.