04 junio 2021

La nueva regulación de la protección de datos personales en las causas penales

Por Vanessa Herrero Sanz, abogada del área Mercantil de AGM Abogados.

Recientemente se ha publicado en el BOE la nueva Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales, que entrará en vigor el próximo 16 de junio de 2021, salvo las previsiones relativas a las obligaciones y responsabilidades de los responsables y encargados de protección de datos, que no producirán sus efectos hasta el próximo 16 de diciembre de 2021.

Tal y como se declara, esta Ley Orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

Aclara la ley que serán consideradas autoridades competentes:

  • Las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal;
  • Las Administraciones Penitenciarias;
  • La Dirección Adjunta de Vigilancia Aduanera;
  • El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias;
  • Y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo

Por tanto, afectará a los tratamientos que procedan de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico.

Su finalidad es que el tratamiento de los datos que realicen esas autoridades competentes respete siempre los derechos fundamentales de los ciudadanos, conforme a lo establecido en la Carta de los Derechos Fundamentales de la Unión Europea, en el Tratado de Funcionamiento de la Unión Europea y, en último término, de nuestra Constitución.

La norma dedica un capítulo a los principios de protección de datos que han de observar los responsables del tratamiento y que se recogen de una manera similar a lo establecido en el RGPD, con algunas especialidades:

  1. Deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores.
  2. La conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos y deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, como máximo cada 3 años. Con carácter general, el plazo máximo para la supresión de los datos será de 20 años.
  3. Distinguir los datos que correspondan a las diversas categorías de interesados, como sospechosos, condenados o sancionados, víctimas o terceros involucrados, así como diferenciar si los datos que trata se basan en hechos o en apreciaciones.
  4. En caso de transmisión de datos sujetos a condiciones específicas de tratamiento, tales condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos de aquéllos para los que fueron transmitidos.
  5. Sólo se permitirá el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado.
  6. Se prohíbe la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley o por el Derecho de la Unión Europea.

Por otra parte, la ley recoge las condiciones para el ejercicio de los derechos de las personas, ya regulados en el RGPD europeo así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, si bien podrán ser restringidos cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional.

En este sentido, la ley establece:

  • La obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera
  • La información que debe ponerse a disposición del interesado, destacando la identificación del responsable del tratamiento y sus datos de contacto; los datos de contacto del delegado de protección de datos y los fines del tratamiento a los que se destinen los datos

En definitiva, con esta Ley se incorpora al ordenamiento jurídico español la Directiva (UE)2016/680, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Al margen de las polémicas que se han suscitado sobre la posible introducción de una “justicia preventiva” o la correcta traducción de los términos de la norma europea, lo cierto es que supone dotar de mayores garantías a tratamientos de datos que ya se estaban realizando por las autoridades competentes.

Comparte: