Protección de datos personales para prevención, detección, investigación y enjuiciamiento de infracciones penales
Se publica en el BOE de 27 de mayo la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
La norma tiene por objeto establecer las normas relativas a la protección de las personas físicas en la aplicación de normas sobre tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Esta Ley Orgánica asume la finalidad de lograr un elevado nivel de protección de los derechos de la ciudadanía, en general, y de sus datos personales, en particular, que resulte homologable al del resto de los Estados miembros de la Unión Europea, incorporando y concretando las reglas que establece la Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso, rectificación o supresión de los datos de aquel.
A los efectos de esta norma se entenderá por autoridades competentes, las Fuerzas y Cuerpos de Seguridad, Administraciones Penitenciarias, La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria, El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, la Comisión de Vigilancia de Actividades de Financiación del Terrorismo y también las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.
En el Capítulo II, se incluye un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Todo ello, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Esta última precisión resulta fundamental para evitar que la puesta de la información a disposición del interesado pueda poner en peligro los fines que, de acuerdo con la directiva y esta Ley Orgánica, justifican el tratamiento de los datos.
Se regulan, también, los plazos de conservación y de revisión de los datos de carácter personal tratados, siendo relevante el establecimiento de un plazo máximo de conservación de los datos con carácter general y la implantación de un sistema que permite al responsable revisar, en el plazo que el mismo establezca dentro del margen legal, la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de sus actividades de tratamiento.
En el supuesto de transmisión de datos sujetos a condiciones específicas de tratamiento, dichas condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos para los que fueron transmitidos.
De igual modo, se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones.
Los datos biométricos (como las huellas dactilares o la imagen facial) sólo se consideran incluidos en esta categoría especial cuando su tratamiento está dirigido a identificar de manera unívoca a una persona física.
El capítulo III, se divide en dos secciones y aborda los derechos de las personas. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. Pondrá a disposición del interesado, al menos, la siguiente información de manera gratuita:
- a) La identificación del responsable del tratamiento y su contacto.
- b) Los datos de contacto del delegado de protección de datos, en su caso.
- c) Los fines del tratamiento a los que se destinen los datos.
- d) El derecho a presentar una reclamación.
También proporcionará; la base jurídica del tratamiento, el plazo durante el cual se conservarán los datos personales, destinatarios de los datos personales, el derecho a solicitar su rectificación, supresión o la limitación de su tratamiento y cualquier otra información necesaria, en especial, cuando los datos personales se hayan recogido sin conocimiento del interesado. Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados casos, a través de la autoridad de protección de datos.
Informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud, la cual se entenderá desestimada si transcurrido un mes desde su presentación no ha sido resuelta.
El responsable del tratamiento podrá aplazar, limitar u omitir la información para la consecución de los siguientes fines:
- a) Impedir que se obstaculicen indagaciones, investigaciones o procedimientos judiciales.
- b) Evitar que se cause perjuicio a la prevención, detección, investigación y enjuiciamiento de infracciones penales o a la ejecución de sanciones penales.
- c) Proteger la seguridad pública.
- d) Proteger la Seguridad Nacional.
- e) Proteger los derechos y libertades de otras personas.
El capítulo IV recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos, a lo largo de tres secciones.
Cada responsable de tratamiento debe conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. En caso de ser más de uno serán corresponsables y podrán recurrir únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas previstas en esta Ley Orgánica para garantizar un nivel de seguridad adecuado. Cualquier violación de la seguridad de los datos personales será notificada por el responsable del tratamiento a la autoridad de protección de datos competente.
Los responsables del tratamiento designarán, en todo caso, un delegado de protección de datos. No estarán obligados a designarlo los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos personales se realice en el ejercicio de sus funciones jurisdiccionales. Como funciones tendrán que informar y asesorar al responsable del tratamiento y a los empleados; supervisar el cumplimiento de lo dispuesto en esta Ley Orgánica, ofrecer el asesoramiento que se le solicite, cooperar con la autoridad de protección de datos y actuar como su punto de contacto.
El capítulo V regula la transferencia de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales y el VI las autoridades de protección de datos independientes (la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos).
El Capítulo VII regula las reclamaciones de los interesados e indemnizaciones ante la autoridad de protección de datos, tramitadas con sujeción al procedimiento establecido en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, y, en su caso, a la legislación de las Comunidades Autónomas que resulte de aplicación. Caso de que la actuación provenga de un órgano judicial o del Ministerio Fiscal cuando se realice el tratamiento con fines jurisdiccionales la responsabilidad se regirá por lo dispuesto en el Título V del Libro III de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. Todo interesado tendrá derecho a interponer recurso contencioso-administrativo, de acuerdo con su normativa reguladora, en caso de que la autoridad de protección de datos competente no dicte resolución expresa y se la notifique en el plazo de tres meses.
El Capítulo VIII, regula el régimen sancionador e infracciones (muy graves, graves y leves) de los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los encargados no establecidos en el territorio de la Unión Europea y el resto de las personas físicas o jurídicas obligadas por el contenido del deber de colaboración. No será de aplicación el régimen sancionador establecido en este capítulo al delegado de protección de datos.
Las disposiciones adicionales se refieren a regímenes específicos, al intercambio de datos dentro de la Unión Europea, a los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, y a los tratamientos que se efectúen en relación con los ficheros y al Registro de Población de las Administraciones Públicas y por último señalar que las disposiciones finales introducen las modificaciones necesarias en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, para adecuarla a las previsiones de esta Ley Orgánica en relación con los tratamientos para ejecución de la pena; en la Ley 50/1981, de 30 de diciembre; en la Ley Orgánica 6/1985, de 1 de julio; en la Ley Orgánica 3/2018, de 5 de diciembre; en la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves en correspondencia con determinadas obligaciones de los operadores; en la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte; en la Ley 5/2014, de 4 de abril, de Seguridad Privada para adecuar, en ambos casos, los plazos de caducidad de los expedientes sancionadores; y en el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre, para dar soporte legal específico a las matriculaciones por razones de Seguridad Nacional.