BLOG

Esto es el subtítulo de la página

PROTECCIÓN DE DATOS VS INVESTIGACIÓN Y EJECUCIÓN DE INFRACCIONES Y SANCIONES PENALES (LO 7/2021)

El pasado mes de mayo se publicaba en el BOE la Ley Orgánica 7/2021, de 26 de mayo, (BOE núm.126, de 27/05/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, objeto de transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

En cuanto al marco normativo de referencia contamos con las siguientes disposiciones legales:

La finalidad principal de la Ley Orgánica 72021, de 26 de mayo es que los datos tratados por las autoridades competentes respeten los derechos fundamentales de los interesados, todo ello conforme a los siguientes artículos:

Artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea:

“Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan”

Artículo 16.1 del Tratado de Funcionamiento de la Unión Europea (TFUE):

“Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan”

Artículo 18.4 de la Constitución Española (CE):

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”

Una vez sentadas las bases conceptuales y normativas pasaremos a analizar las principales novedades que ofrece la norma sobre la que versa el presente artículo:

En primer lugar, se dispone en el artículo 1 que el objeto de esta Ley Orgánica 7/2021, es la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que, tengan la consideración de autoridades competentes.

El artículo 4 establece que serán autoridades competentes:

  • Las Fuerzas y Cuerpos de Seguridad del Estado.
  • Las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.
  • Las Administraciones Penitenciarias.
  • La Dirección Adjunta de Vigilancia Aduanera.
  • El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
  • La Comisión de Vigilancia de Actividades de financiación del Terrorismo.

En segundo lugar, en cuanto a los principios en materia de protección de datos: La ley incluye en su artículo 7 un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Suponiendo lo indicado una limitación con respecto a los artículos 13 y 14 del RGPD, principio de información, puesto que en este caso concreto el interesado no será informado de la transmisión de sus datos a las autoridades competentes, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, todo ello a fin de garantizar la actividad investigadora. Para concluir este párrafo destacar que en estos casos el responsable del tratamiento deberá revisar como máximo cada tres años la necesidad de conservar, limitar o suprimir los datos personales de cada una de las actividades de tratamiento bajo su responsabilidad.

  • El responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos (Principio de limitación del plazo de conservación). Con carácter general el plazo máximo para la supresión de los datos será de veinte años.
  • El tratamiento sólo será lícito en la medida en que sea necesario para los fines señalados y se realice por una autoridad competente en ejercicio de sus funciones (Principio de limitación de la finalidad).
  • Si por parte del responsable del tratamiento se va a llevar a cabo un tratamiento de datos de carácter personal especialmente protegidos sólo se permitirá cuando sea estrictamente necesario y siempre y cuando se lleve a cabo con sujeción a las garantías adecuadas para los derechos y libertades del interesado, todo ello atendiendo a lo dispuesto en el artículo 9.1 RGPD.
  • En la Sección 2ª del Capítulo II encontramos la regulación sobre los tratamientos de datos personales en el ámbito de la videovigilancia, donde se establecen varios puntos distintivos:
  • La captación, reproducción y tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad en los términos previstos en la LO 7/2021, así como las actividades preparatorias, no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
  • Para los casos en los que las videocámaras fijas se instalen en vías públicas, el responsable del tratamiento deberá valorar previamente el principio de proporcionalidad en su doble versión, tanto intervención mínima como idoneidad. Asimismo, deberá realizar un análisis de riesgos y/o evaluación de impacto, tomando como baremo para la realización de lo indicado el nivel de perjuicio que el tratamiento de sus datos a través de las cámaras pueda derivar para la ciudadanía y de la finalidad perseguida.
  • El tratamiento de los datos, por parte del responsable u otro puede incluir el archivo por razones de interés público, o para el uso científico, estadístico o histórico para las finalidades establecidas (la prevención, detección, investigación o enjuiciamiento de infracciones).
  • Además, es importante reseñar que, en cuanto a la conservación de las imágenes de videovigilancia, para estos casos el periodo se amplía de uno a tres meses.

Sobre la videovigilancia hemos profundizado en otras entradas del presente blog, las cuales puedes visualizar pinchando aquí o aquí.

En tercer lugar, la norma también hace referencia a los derechos de los interesados en materia de protección de datos, reconociendo los derechos de acceso, rectificación, supresión y limitación del tratamiento, del mismo modo que se encuentran reconocidos en la normativa anteriormente referenciada en la materia (LOPDGDD y RGPD), por el contrario, no encontramos ninguna referencia a los derechos de oposición y portabilidad. En este punto nos encontramos con que los derechos indicados pueden ser restringidos en determinados supuestos, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional. Asimismo se establece que el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales. Por su parte las autoridades competentes no tienen la obligación de responder en el plazo de un mes, sino que si transcurre este plazo sin respuesta se entenderá por desestimado el derecho solicitado. En cuarto y último lugar la ley también aborda el tema de las transferencias internacionales de datos, indicando en este caso que si las autoridades competentes españolas desean realizarlas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, sin perjuicio de aquellos casos en que la Comisión Europea haya adoptado una decisión de adecuación o, cuando se hayan aportado o existan garantías apropiadas de conformidad con el artículo 45 o, a falta de ambas, cuando resulten de aplicación las excepciones para situaciones específicas de acuerdo con el artículo 46,deberán de cumplirse entre otras las siguientes condiciones:

  • Solamente han de realizarse cuando sean estrictamente necesarias y cuando el responsable del tratamiento en el tercer país u organización internacional sea autoridad competente en relación con dichos fines.
  • Para aquellos casos en que los datos personales hayan sido transferidos a la autoridad competente española procedentes de otro Estado miembro de la Unión Europea, se deberá contar con autorización previa de dicho Estado miembro de conformidad con su Derecho nacional de tal forma que sólo se permitirán su realización sin autorización previa si dicha transferencia resulta necesaria para prevenir una amenaza inmediata y grave para la seguridad pública.

Para finalizar, la LO 7/2021 incluye un régimen sancionador específico para quienes incumplan sus preceptos, con sanciones que oscilan entre los 6.000 y los 240.000 euros, tipificando las infracciones como leves, graves o muy graves. Asimismo, la norma incluye el Derecho a indemnización por entes del sector público y por los encargados del tratamiento del sector privado de los artículos 53 y 54.

En definitiva, esta ley orgánica como trasposición de la Directiva La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, supone el establecimiento de un marco jurídico consistente, que proporciona la seguridad jurídica necesaria para facilitar la cooperación policial y judicial penal, de forma tal que el intercambio de información en este contexto deberá realizarse, en todo caso, de manera que se garanticen los principios democráticos y la seguridad de las personas a lo largo de las distintas fases del tratamiento, logrando un elevado nivel de protección de los derechos de la ciudadanía, en general, y de sus datos personales en particular.