Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Estudio detallado de la Ley Orgánica 7/2021, de 26 de mayo

Hace bastante tiempo, publiqué un artículo en este blog, que pueden consultar haciendo clic aquí, sobre la Directiva 2016/680/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos.

La Directiva 2016/680/UE fue transpuesta a nuestro derecho interno por la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que entró en vigor el 16 de junio de 2021. Consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición transitoria, una disposición derogatoria y doce disposiciones finales.

No es un estilo de redacción que me guste, pero dada la extensión de la ley, voy a destacar, de forma esquemática, aquellos aspectos que resulten novedosos o específicos en relación al RGPD.

1.- Ámbito de aplicación: El tratamiento de datos personales, automatizado o no, realizado por las Autoridades competentes para prevención, detección, investigación y enjuiciamiento de infracciones penales y ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas contra la seguridad pública, con las excepciones previstas en los apartados 3 y 4 del artículo 2.

2.- Finalidad: Que las Autoridades competentes cumplan en el tratamiento de datos personales los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de conformidad con el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.

3.- Autoridades competentes: Fuerzas y Cuerpos de Seguridad; las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera de la AEAT; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. 

4.- Principios relativos al tratamiento de datos: Rigen los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva.  

El plazo máximo previsto para la conservación de datos de carácter personal es de 20 años, salvo que concurran factores como la existencia de investigaciones abiertas o delitos que no hayan prescrito, la no conclusión de la ejecución de la pena, reincidencia, necesidad de protección de las víctimas u otras circunstancias motivadas que hagan necesario el tratamiento de los datos para el cumplimiento de los fines del tratamiento. No obstante, el responsable del tratamiento está obligado a revisar cada 3 años la necesidad de conservar, limitar o suprimir los datos personales atendiendo a la edad del afectado, el carácter de los datos y a la conclusión de una investigación o procedimiento penal.

5.- Deber de colaboración: Las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación y enjuiciamiento de infracciones penales o la ejecución de las penas y para la protección y prevención frente a un peligro real y grave para la seguridad pública.

6.- Distinción entre categorías de interesados: Se establecen las siguientes categorías de interesados: personas sobre las cuales existan motivos fundados para presumir que han cometido o bien puedan cometer o colaborar en la comisión de una infracción penal; personas condenadas o sancionadas por una infracción penal; víctimas o afectados por una infracción penal o que puedan serlo; y terceros relacionados con una investigación penal (p.ej. testigos).

7.- Verificación de la calidad de los datos personales: El responsable del tratamiento, en la medida de lo posible, establecerá una distinción entre los datos personales basados en «hechos» y los basados en «apreciaciones personales».

8.- Prohibición de la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles, salvo autorización expresa por una norma con rango de ley o por el Derecho de la Unión.

9.- Tratamiento de imágenes y sonidos por Fuerzas y Cuerpos de Seguridad: Las FCS podrán tratar imágenes y sonidos obtenidas mediante videocámaras con el fin de proteger instalaciones propias, aquellas que se encuentren bajo su custodia o que resulten útiles para la seguridad nacional. También para prevenir, detectar e investigar la comisión de infracciones penales y la protección y prevención frente amenazas contra la seguridad pública.

En el caso de videocámaras fijas, los titulares de derechos reales sobre los bienes afectados por estas instalaciones, o quienes los posean por cualquier título, están obligados a facilitar y permitir su instalación y mantenimiento, sin perjuicio de las indemnizaciones que procedan. Los ciudadanos serán informados de la existencia de videocámaras fijas, sin especificar su emplazamiento, así como de la autoridad responsable del tratamiento ante la que poder ejercer sus derechos.

Las FCS (Guardia Civil y Policía Nacional) podrán emplear dispositivos móviles para recoger imágenes y sonidos ante un peligro o evento concreto, si bien su uso deberá estar autorizado por la Delegación o Subdelegación de Gobierno. Si son Cuerpos de Policía propios de las Comunidades Autónomas o de las Corporaciones Locales radicadas en sus territorios la autorización para su uso la concederán los responsables autonómicos. 

Las autorizaciones para el uso de dispositivos móviles no se podrán conceder con carácter indefinido, siendo otorgadas por el plazo adecuado a la naturaleza y circunstancias derivadas del peligro o evento concreto, por un periodo máximo de un mes prorrogable por otro. En casos de urgencia o necesidad inaplazable será el responsable operativo de las FCS competentes el que podrá determinar su uso, siendo comunicada tal actuación con la mayor brevedad posible, y siempre en el plazo de 24 horas, al Delegado o Subdelegado del Gobierno o autoridad competente de las comunidades autónomas.

Si la grabación captara la comisión de hechos que pudieran ser constitutivos de infracciones penales, las FCS pondrán el soporte original de las imágenes y sonidos a disposición judicial en el plazo máximo de 72 horas desde su captación.

Las grabaciones serán destruidas en un plazo máximo de 3 meses desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto.

10.- Régimen disciplinario para Fuerzas y Cuerpos de Seguridad: Sin perjuicio de la responsabilidad penal en la que pudieran incurrir, los miembros de las FCS quedan sujetos al régimen disciplinario previsto en el artículo 19 para los casos de alteración o manipulación de los registros de imágenes y sonidos; por permitir accesos no autorizados a dichos registros; por utilizar o reproducir las imágenes y sonidos para fines distintos a los legalmente previstos; y por usar los medios técnicos de las FCS para fines distintos de los previstos en la Ley Orgánica.   

11.- Derechos de las personas: Se reconocen los derechos de información, acceso, rectificación, supresión y limitación del tratamiento, si bien se establecen una serie de restricciones, con el objeto de evitar que se obstaculicen indagaciones, investigaciones o procedimientos judiciales, para proteger la seguridad pública y la seguridad nacional y los derechos y libertades de otras personas. Se prevé un régimen especial en relación a los derechos de los interesados como consecuencia de investigaciones y procesos penales.

12.- Registro de las actividades de tratamiento y de las operaciones de tratamiento en sistemas de tratamiento automatizado: Los responsables del tratamiento deben llevar y conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad, cuyo contenido mínimo se concreta en el artículo 32 de la Ley Orgánica. Asimismo, llevarán un registro de las operaciones de tratamiento en sistemas de tratamiento automatizado, con el contenido mínimo previsto en el artículo 33. 

13.- Designación obligatoria de Delegado de Protección de Datos: Los responsables del tratamiento designarán un Delegado de Protección de Datos, a excepción de los órganos jurisdiccionales y el Ministerio Fiscal. 

14.- Autoridades de protección de datos: Las autoridades de control son la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos en sus respectivos ámbitos competenciales.

15.- Transferencias internacionales: Cualquier transferencia de datos personales a terceros países que nos sean miembros de la Unión o a organizaciones internacionales deberá cumplir las siguientes condiciones:

  1. Que la transferencia sea necesaria para los fines de la Ley Orgánica.
  2. Que los datos personales sean transferidos a un responsable del tratamiento competente para los fines antes referidos.
  3. Que el Estado miembro del que procedan los datos transferidos autorice previamente la transferencia ulterior, salvo que dicha autorización no pueda conseguirse a su debido tiempo para prevenir una amenaza inmediata y grave para la seguridad pública.
  4. Que la Comisión Europea haya adoptado una decisión de adecuación o que el tercer Estado haya aportado o existan garantías respecto a la protección de los datos personales. 

Cuando los datos sean transferidos inicialmente por una autoridad competente española, esta autorizará la transferencia ulterior, una vez considerados todos los factores pertinentes, como la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos y el nivel de protección existente en ese Estado u organización internacional al que se van a transferir los datos personales.

El artículo 47 prevé la posibilidad de que las Autoridades competentes españolas puedan transferir datos personales directamente a destinatarios que no tengan la condición de Autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las previsiones contempladas en dicho artículo.

16.- Régimen sancionador propio: Se determinan las reglas del concurso de normas para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más preceptos de la Ley Orgánica u otra Ley, a saber: se aplicará con preferencia al general el precepto especial; el precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquel; y en defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor. En caso de que un solo hecho constituya dos o más infracciones, o cuando una de ellas sea medio necesario para cometer la otra, la conducta será sancionada por aquella infracción que conlleve una mayor sanción.

Se tipifican las infracciones que, en función de su gravedad, podrán ser calificadas como muy graves (artículo 58), graves (artículo 59) o leves (artículo 60).

Las infracciones muy graves se sancionan con multa de 360.001 a 1.000.000 euros; las infracciones graves, con multa de 60.001 a 360.000 euros y las leves con multa de 6.000 a 60.000 euros.

Se fijan plazos de prescripción para las infracciones (6 meses, 2 años o 3 años de haberse cometido, según sean leves, graves o muy graves, respectivamente) y para las sanciones (1 año, 2 años o 3 años de haberse cometido, según sean leves, graves o muy graves, respectivamente). A su vez, se establece un plazo de caducidad del procedimiento sancionador de 6 meses desde su incoación sin que se haya notificado la resolución.

La nueva Ley Orgánica regula las obligaciones de los responsables del tratamiento (artículos 27 a 29), de los encargados del tratamiento (artículos 30 y 31), la obligación de realizar evaluaciones de impacto, con carácter previo, a un tratamiento de datos cuando éste suponga un alto riesgo para los derechos y libertades de las personas físicas (artículo 35); las consultas previas a la autoridad de protección de datos (artículo 36); la seguridad del tratamiento (artículo 37); la obligación de notificar a la autoridad de control las violaciones de la seguridad de los datos personales (artículos 38 y 39); y la posibilidad que tienen los interesados de cursar una reclamación a la autoridad de control (artículo 52). 

Las disposiciones adicionales se refieren a regímenes específicos, al intercambio de datos dentro de la Unión, a los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación judicial, y a los tratamientos que se efectúen en relación con los ficheros y el Registro de Población de las Administraciones Públicas. 

Soy consciente de que este no es el artículo del blog más entretenido, y también que la norma objeto de estudio no es de uso común para empresas, profesionales y particulares, pero no está de más conocer su contenido.

Actualización (16.01.2024)

El Ministerio del Interior aprueba la Instrucción nº 1/2024 por la que se regula el procedimiento integral de la detención policial.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).