La nueva regulación de la protección de datos personales en las causas penales (LO 7/2021, de 26 de mayo)

La finalidad de la norma es la de regular el intercambio de información para facilitar la cooperación policial y judicial penal

Introducción

La nueva Ley Orgánica aprobada el pasado 26 de mayo de 2021, con un amplio consenso por el Congreso, viene a trasponer a nuestro ordenamiento la Directiva (UE) 2016/680, de 27 de abril de 2016, que se aprobó como respuesta a las crecientes amenazas para la seguridad nacional e internacional, caracterizadas por un componente trasfronterizo. Tras los atentados terroristas que han sacudido a Europa y el mundo entero, la cooperación internacional y comunicación de información y datos de carácter personal entre los servicios policiales y judiciales de los diferentes países se ha convertido en un objetivo imperioso.

Antecedentes

Es preciso señalar que la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales, publicada el pasado 26 de mayo de 2021 en el BOE, llega con más de dos años de retraso. En efecto, la Directiva (UE) 2016/680 establecía como fecha límite para su trasposición a los ordenamientos de cada uno de los Estados Miembros el día 6 de mayo de 2018[1].

La finalidad de la norma es la de regular el intercambio de información para facilitar la cooperación policial y judicial penal (Foto: Economist & Jurist)

La falta de trasposición al ordenamiento jurídico español de esta Directiva ha supuesto la imposición por parte de la Unión Europea de una sanción de casi 20 millones de euros a España (correspondientes a la multa de 15 millones más 80.000 euros por cada día de retraso), lo que ha suscitado varias críticas de la oposición al Gobierno.

Finalidad y objeto de la Ley

La finalidad de la norma es la de regular el intercambio de información para facilitar la cooperación policial y judicial penal, garantizando un elevado nivel de protección de los derechos de la ciudadanía en la observancia de los principios democráticos y la seguridad jurídica de las personas. La regulación persigue, por tanto, una mayor eficacia en el desempeño de las funciones por parte de las Fuerzas y Cuerpos de Seguridad y del sistema judicial penal y penitenciario en general.

Tal y como se declara, el objeto de la nueva Ley Orgánica es la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales llevada a cabo por las autoridades competentes.

Autoridades competentes y principios de protección de datos

En el Capítulo I, relativo a las disposiciones generales, se establece que las autoridades competentes, a efectos de esta Ley Orgánica, serán las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

Otro aspecto fundamental de la Ley se recoge en el Capítulo II, donde se fijan los principios de protección de datos cuya garantía corresponde al responsable de tratamiento. Estos principios son muy parecidos, por no decir idénticos, a los recogidos por el Reglamento General de Protección de Datos (RGPD)[2], salvo alguna especialidad propia del ámbito de esta Ley. En particular, LO 7/2021 incluye un deber de colaboración del responsable con las autoridades competentes, en virtud del cual -salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica -, deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores.

La presente Ley aclara que los datos biométricos se considerarán una categoría especial de datos (Foto: Economist & Jurist)

Otra particularidad, con respecto a la regulación del RGPD, se refiere a los plazos de conservación y de revisión de los datos. Resulta fundamental establecer un plazo máximo de conservación, que con carácter general será de 20 años, e implantar un sistema que permita al responsable revisar, limitar o suprimir el conjunto de datos personales contenidos en cada una de sus actividades de tratamiento, como máximo cada tres años.

Además, la presente Ley aclara que los datos biométricos (como las huellas dactilares o la imagen facial) se considerarán una categoría especial de datos, solo si su tratamiento está dirigido a identificar de manera unívoca a una persona física. Es preciso recordar, que la misma distinción fue recogida por la Agencia Española de Protección de Datos (AEPD) en su resolución de 8 de mayo de 2020 (N/REF:0036/2020), entendiendo que la huella dactilar o el reconocimiento facial para el control de accesos puede que no entre dentro de categoría especial de datos si la finalidad no es la identificación del interesado.

Derechos de las personas

En el siguiente Capítulo se aborda la regulación de los derechos de los afectados y las condiciones generales de su ejercicio. Como en el RGPD y la LOPDGDD[3], se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento y se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento. Es importante destacar la peculiaridad relativa a la posible restricción de tales derechos (y, por ejemplo, denegar el derecho de acceso) en causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad nacional.

Obligaciones del responsable y encargado de tratamiento

Así como en el RGPD, la Ley Orgánica establece ciertas obligaciones para el responsable y el encargado que responden al nuevo modelo de responsabilidad activa que exige una valoración previa del riesgo de los tratamientos de los datos personales para los interesados, para, a partir de dicha valoración, adoptar las medidas más ajustadas al caso concreto. Además, la norma presta una atención detallada a la seguridad del tratamiento, visto la especial relevancia del objeto de la regulación. Adicionalmente, en el mismo Capítulo IV, se recoge la regulación del delegado de protección de datos como figura de asesoramiento y supervisión de los responsables de tratamiento.

Finalmente, es preciso señalar que las previsiones contenidas en el mencionado capítulo, relativo al responsable y encargado de tratamiento, producirán efectos a los seis meses de la entrada en vigor de la norma, es decir, a partir del próximo 16 de diciembre de 2021.

Transferencias internacionales de datos

En el Capítulo V, la Ley regula las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado tercero o a una organización internacional y se establecen las condiciones que deberán cumplirse para que estas sean lícitas. En particular, es preciso señalar que la autoridad competente del Estado miembro en el que se obtuvo el dato objeto de la trasmisión debe autorizar previamente esta transferencia.

Autoridades de protección de datos y procedimientos de reclamación

En relación con las autoridades de protección de datos, la Ley establece que dichas autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos, en sus respectivos ámbitos competenciales, atribuyéndoles potestades de investigación, control y asesoramiento.

Finalmente, por lo que se refiere a los procedimientos de reclamación que se planteen antes las autoridades de protección de datos, la Ley hace remisión a la regulación contenida en la LOPDGDD.

Régimen sancionador

En su último Capítulo, la Ley prevé y regula el régimen sancionador específico aplicable ante incumplimientos de las obligaciones previstas en su texto, estableciendo, entre otras cosas, lo sujetos responsables y tipificando las sanciones.

Conclusión

En definitiva, con esta norma se incorpora finalmente al ordenamiento jurídico español la Directiva (UE)2016/680, de 27 de abril de 2016, estableciendo los instrumentos necesarios para permitir una eficaz protección de los datos de personas físicas frente a su tratamiento por parte de las autoridades competentes con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

BIBLIOGRAFÍA 

[1] Vid. Artículo 63 de la Directiva 2016/680

[2] Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y al a libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

[3] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales.