En su día, publiqué un artículo sobre la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos, que pueden consultar haciendo clic aquí.
La Directiva (UE) 2016/680 fue transpuesta al ordenamiento jurídico español mediante la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que entró en vigor el 16 de junio de 2021. Consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición transitoria, una disposición derogatoria y doce disposiciones finales.
Aunque el estilo de redacción esquemático no es el que más me gusta, dada la extensión de la ley, destacaré los aspectos que resulten más novedosos o específicos en comparación con el RGPD, para facilitar su comprensión.
1.- Ámbito de aplicación: La ley regula el tratamiento de datos personales, automatizado o no, realizado por las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales, así como para la ejecución de sanciones penales, incluyendo la protección y prevención frente a amenazas contra la seguridad pública. Se excluyen los tratamientos previstos en los apartados 3 y 4 del artículo 2, como aquellos sujetos al RGPD o al ámbito de la defensa nacional.
2.- Finalidad: Garantizar que las autoridades competentes apliquen los más altos estándares de protección de los derechos fundamentales y libertades de los ciudadanos en el tratamiento de datos personales, en consonancia con el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución Española.
3.- Autoridades competentes: Incluye a las Fuerzas y Cuerpos de Seguridad del Estado; las autoridades judiciales del orden penal y el Ministerio Fiscal; las administraciones penitenciarias; la Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria (AEAT); el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
4.- Principios relativos al tratamiento de datos: Se aplican los principios de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva.
El plazo máximo de conservación de datos personales es de 20 años, salvo excepciones como investigaciones abiertas, delitos no prescritos, ejecución de penas pendientes, reincidencia, protección de víctimas u otras circunstancias justificadas. No obstante, el responsable del tratamiento debe revisar cada tres años la necesidad de conservar, limitar o suprimir los datos, considerando factores como la edad del afectado, la naturaleza de los datos y el cierre de investigaciones o procedimientos penales.
5.- Deber de colaboración: Las administraciones públicas, así como cualquier persona física o jurídica, deben proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para investigar y enjuiciar infracciones penales, ejecutar penas o prevenir y proteger contra peligros reales y graves para la seguridad pública.
6.- Distinción entre categorías de interesados: Se establecen las siguientes categorías de interesados: personas sobre las cuales existan motivos fundados para presumir que han cometido o bien puedan cometer o colaborar en la comisión de una infracción penal; personas condenadas o sancionadas por una infracción penal; víctimas o afectados por una infracción penal o que puedan serlo; y terceros relacionados con una investigación penal (por ejemplo, testigos).
7.- Verificación de la calidad de los datos personales: El responsable del tratamiento debe, en la medida de lo posible, distinguir entre datos basados en hechos objetivos y aquellos derivados de apreciaciones personales.
8.- Prohibición de la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles, salvo autorización expresa por una norma con rango de ley o por el Derecho de la Unión Europea.
9.- Tratamiento de imágenes y sonidos por Fuerzas y Cuerpos de Seguridad: Las Fuerzas y Cuerpos de Seguridad pueden tratar imágenes y sonidos captados por videocámaras para proteger instalaciones propias o bajo su custodia, o para fines de seguridad nacional, prevención, detección e investigación de infracciones penales, y protección contra amenazas a la seguridad pública.
En el caso de videocámaras fijas, los titulares de derechos sobre los bienes afectados deben facilitar su instalación y mantenimiento, con derecho a indemnización. Los ciudadanos serán informados de la existencia de estas videocámaras, sin revelar su ubicación exacta, e indicándose la autoridad responsable para ejercer derechos.
Para dispositivos móviles, se requiere autorización de la Delegación o Subdelegación del Gobierno (o autoridades autonómicas para policías locales o autonómicas), por un plazo máximo de un mes, prorrogable otro. En urgencias, el responsable operativo puede autorizarlo, notificándolo en 24 horas. Si las grabaciones captan infracciones penales, se ponen a disposición judicial en 72 horas. Las grabaciones se destruyen en tres meses, salvo si están relacionadas con infracciones graves, investigaciones en curso o procedimientos abiertos.
10.- Régimen disciplinario para Fuerzas y Cuerpos de Seguridad: Sin perjuicio de la responsabilidad penal en la que pudieran incurrir, los miembros de las Fuerzas y Cuerpos de Seguridad están sujetos a sanciones disciplinarias por alteración o manipulación de registros de imágenes y sonidos; accesos no autorizados; uso o reproducción para fines no legales; o empleo de medios técnicos para objetivos distintos a los previstos en la ley, conforme al artículo 19.
11.- Derechos de las personas: Se reconocen los derechos de información, acceso, rectificación, supresión y limitación del tratamiento, aunque con restricciones para evitar obstaculizar investigaciones, procedimientos judiciales, proteger la seguridad pública o nacional, o salvaguardar derechos de terceros. Existe un régimen especial para derechos en investigaciones y procesos penales.
12.- Registro de las actividades de tratamiento y de las operaciones de tratamiento en sistemas de tratamiento automatizado: Los responsables del tratamiento deben mantener un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad, cuyo contenido mínimo se concreta en el artículo 32. Asimismo, llevarán un registro de las operaciones de tratamiento en sistemas de tratamiento automatizado con el contenido mínimo previsto en el artículo 33.
13.- Designación obligatoria de Delegado de Protección de Datos: Los responsables del tratamiento designarán un Delegado de Protección de Datos, a excepción de los órganos jurisdiccionales y el Ministerio Fiscal.
14.- Autoridades de protección de datos: Las autoridades de control son la Agencia Española de Protección de Datos y las agencias autonómicas que actúan como autoridades de control en sus respectivos ámbitos competenciales.
15.- Transferencias internacionales: Cualquier transferencia de datos personales a terceros países que nos sean miembros de la Unión o a organizaciones internacionales deberá cumplir las siguientes condiciones:
- Que la transferencia sea necesaria para los fines de la Ley Orgánica.
- Que los datos personales sean transferidos a un responsable del tratamiento competente.
- Que el Estado miembro del que procedan los datos transferidos autorice previamente la transferencia ulterior, salvo que dicha autorización no pueda conseguirse a su debido tiempo para prevenir una amenaza inmediata y grave para la seguridad pública.
- Que la Comisión Europea haya adoptado una decisión de adecuación o que el tercer Estado haya aportado o existan garantías respecto a la protección de los datos personales.
Cuando los datos sean transferidos inicialmente por una autoridad competente española, esta autorizará la transferencia ulterior, una vez considerados todos los factores pertinentes, como la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos y el nivel de protección existente en ese Estado u organización internacional al que se van a transferir los datos personales.
El artículo 47 prevé la posibilidad de que las autoridades competentes españolas puedan transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión, siempre que se cumplan las previsiones contempladas en dicho artículo.
16.- Régimen sancionador propio: En concursos de normas, prevalece el precepto especial sobre el general; el más amplio absorbe los subsumidos; o, en su defecto, el de mayor sanción. Para un solo hecho con múltiples infracciones, se aplica la de mayor sanción. Las infracciones se clasifican como muy graves (artículo 58, multa de 360.001 a 1.000.000 euros), graves (artículo 59, 60.001 a 360.000 euros) o leves (artículo 60, 6.000 a 60.000 euros). Prescriben en 3 años (muy graves), 2 años (graves) o 6 meses (leves); las sanciones en 3, 2 o 1 año respectivamente. El procedimiento sancionador caduca en 6 meses sin resolución notificada.
La ley también regula las obligaciones de responsables del tratamiento (artículos 27 a 29) y encargados del tratamiento (artículos 30 y 31), las evaluaciones de impacto para tratamientos de alto riesgo (artículo 35); las consultas previas a autoridades de control (artículo 36); la seguridad del tratamiento (artículo 37); la notificación a la autoridad de control de las violaciones de la seguridad (artículos 38 y 39); y la posibilidad que tienen los interesados de cursar una reclamación a la autoridad de control (artículo 52).
Las disposiciones adicionales abordan regímenes específicos, intercambio de datos dentro de la Unión, acuerdos internacionales en materia de cooperación judicial penal, y tratamientos en ficheros y registros de población de administraciones públicas.
—
Actualización (enero 2024)
El Ministerio del Interior aprueba la Instrucción 1/2024 por la que se regula el procedimiento integral de la detención policial.
Actualización (diciembre 2025)
La Instrucción 1/2024 es actualizada por la Instrucción nº 10/2025, de 16 de septiembre de 2025, de la Secretaría de Estado de Seguridad, que revisa el procedimiento integral de la detención policial para adaptarlo a la experiencia acumulada, recomendaciones del Defensor del Pueblo y necesidades operativas actuales.
