Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

La protección de datos en el ámbito de los procesos judiciales penales

Siguiendo la línea de los artículos anteriores, en este les explicaré la regulación de la protección de datos en los procesos judiciales penales, que no están sometidos al régimen general contenido en el RGPD y en la LOPDGDD, de conformidad con el artículo 2, apartado 2, letra d) del RGPD.

Los órganos judiciales y policiales operan bajo un marco diferenciado, que prioriza la proporcionalidad y la necesidad, evitando la aplicación de requisitos como el consentimiento del interesado, que resultarían incompatibles con la naturaleza coercitiva de los procedimientos penales.

Directiva (UE) 2016/680

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos es la norma de referencia.  

Esta Directiva fue transpuesta al derecho interno mediante la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. En otro artículo, que dejo enlazado aquí, realicé un resumen pormenorizado de dicha norma, al cual me remito para evitar reiteraciones innecesarias.

El plazo para la transposición de la Directiva 2016/680/UE venció el 6 de mayo de 2018. El TJUE condenó al Reino de España a pagar a la Comisión Europea una multa a tanto alzado de 15.000.000 € por incumplir dicho plazo, más una multa coercitiva de 89.000 € diarios desde el 25 de febrero de 2021 hasta que se subsanó el incumplimiento (pueden consultar la sentencia del TJUE haciendo clic aquí). Si hacemos números, entre el 25 de febrero y el 26 de mayo de 2021 hay 91 días que, a razón de 89.000 €/día, ascienden a un total de 8.099.000 €, que sumados a los 15.000.000 € iniciales arrojan una cantidad final de 23.099.000 €, más las costas del procedimiento que también fueron impuestas a España, todo ello por no haber realizado los legisladores su labor a tiempo.

Hasta la transposición de la Directiva, la actuación de los funcionarios y autoridades policiales y judiciales en el ejercicio de funciones de investigación y enjuiciamiento de delitos se rigió por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en particular por su artículo 22 y sus disposiciones de desarrollo, conforme a la Disposición Transitoria Cuarta de la LOPDGDD. Esta disposición actuó como puente normativo, garantizando la continuidad en la protección de datos durante el período de adaptación. En la práctica, ante la ausencia de normativa específica, se recurrió a interpretaciones conformes con la Directiva, evitando vacíos legales que pudieran comprometer derechos fundamentales.

Conviene aclarar que, cuando una Directiva entra en vigor, despliega efectos jurídicos que imponen obligaciones a todos los órganos del Estado dentro de sus respectivas competencias, incluidos los órganos jurisdiccionales. Estos están obligados a contribuir al cumplimiento, por parte de los Estados miembros, de los deberes derivados de la Directiva, ya sea mediante la interpretación del derecho interno conforme a su contenido (principio de interpretación conforme) o mediante su aplicación directa (efecto directo).

En virtud del principio de interpretación conforme, los órganos jurisdiccionales deben hacer todo lo posible, a la luz de la letra y finalidad de la Directiva, para alcanzar el resultado que esta persigue. Así, cuando una norma nacional pueda entenderse de diversos modos, el juez nacional deberá optar por la interpretación que sitúe la disposición interna en armonía con la Directiva. Este principio, derivado de la sentencia Marleasing (asunto C‑106/89), implica una lectura teleológica de la ley nacional, priorizando objetivos como la protección de los derechos fundamentales y la armonización dentro de la Unión Europea.

El efecto directo, reconocido por la jurisprudencia del TJUE —por ejemplo, en la sentencia Van Gend & Loos, asunto C‑26/62—, permite a los particulares invocar disposiciones incondicionales, claras y precisas que reconozcan derechos frente a los poderes públicos.

Derechos reconocidos

Los derechos que la Directiva 2016/680/UE reconoce a los interesados son los siguientes:

  1. Derecho de acceso (art. 14): El interesado tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen, y, en caso afirmativo, acceso a dichos datos. Este derecho puede limitarse o restringirse por los Estados miembros para evitar que se obstaculicen investigaciones o procedimientos oficiales o judiciales, o para proteger la seguridad pública o nacional, así como los derechos y libertades de otras personas.
  2. Derecho de rectificación o supresión y de limitación del tratamiento (art. 16): Estos derechos pueden ser igualmente limitados o restringidos por los Estados miembros por las mismas razones que el derecho de acceso.

El control del tratamiento de datos personales por parte de los órganos jurisdiccionales, cuando actúan en ejercicio de su función judicial, recae sobre el Consejo General del Poder Judicial, conforme al artículo 236.1 nonies de la LOPJ.

Actualizaciones jurisprudenciales

Actualización (26.01.2023): El TJUE, en su sentencia de 26 de enero de 2023 (asunto C‑205/21), puso límites a la recogida por parte de la policía de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso. Amparándose en la Directiva (UE) 2016/680, el Tribunal estableció que las leyes nacionales deben exigir a la autoridad competente comprobar y demostrar que esa recogida es estrictamente necesaria para los fines perseguidos y que no existen medidas menos intrusivas que permitan alcanzar los mismos objetivos.

Actualización (16.11.2023): En su sentencia de 16 de noviembre de 2023 (asunto C‑333/22), el TJUE dictaminó que Bélgica debe mejorar su legislación sobre el ejercicio indirecto de los derechos reconocidos a los interesados bajo la Directiva 2016/680. El caso surgió a raíz de una solicitud de acceso a datos policiales, en la que la autoridad supervisora (OCIP, en Bélgica) había proporcionado información mínima. El TJUE confirmó la validez del artículo 17.3 de la Directiva, que permite limitaciones para no comprometer investigaciones, pero recordó que los Estados deben garantizar recursos judiciales efectivos conforme al artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea.

Actualización (28.11.2024): En su sentencia de 28 de noviembre de 2024 (asunto C‑80/23), el TJUE reiteró los límites al tratamiento de datos sensibles conforme al artículo 10 de la Directiva 2016/680. El caso, originado en Bulgaria, versó sobre la recolección sistemática de datos biométricos y genéticos de acusados. El Tribunal estableció que la autoridad competente (la policía) debe realizar una evaluación individual de necesidad estricta, verificando si los objetivos perseguidos pueden lograrse mediante un tratamiento menos invasivo o alternativas menos intrusivas.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es