fbpx

La Directiva entró en vigor el 5 de mayo de 2016 y los Estados miembros tenían hasta el 6 de mayo de 2018 para llevar a cabo su transposición.

Incumplimiento de España por falta de transposición de la Directiva

Tribuna

¿Qué dice la Directiva sobre protección de datos en el ámbito penal con la que incumple España?

Tras la advertencia previa y dada la falta de adopción de medidas, la Comisión Europea (en lo sucesivo, la Comisión) decidió llevar ante el Tribunal de Justicia de la Unión Europea a España, así como a Grecia, por incumplir con el Derecho europeo en materia de protección de datos. En concreto, España ha infringido la obligación de transponer la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (en adelante, Directiva sobre protección de datos en el ámbito penal).

Esta Directiva europea es parte, junto con el Reglamento General de Protección de Datos, del denominado “paquete de medidas sobre protección de datos” que entró en vigor en mayo de 2016. En concreto la Directiva entró en vigor el 5 de mayo de 2016 y los Estados miembros tenían hasta el 6 de mayo de 2018 para llevar a cabo su transposición.

La Comisión advirtió a España, así como a otros seis Estados miembros (Bulgaria, Chipre, Eslovenia, Grecia, Letonia y los Países Bajos), el pasado mes de enero de 2019, sobre la obligación de adoptar medidas al respecto. La advertencia se hizo a través de un dictamen motivado dando a los citados Estados miembros un plazo de dos meses para responder y adoptar las medidas pertinentes. Y esto no ha ocurrido en el caso de España, que ahora se enfrente a una multa con un importe mínimo a tanto alzado de 5.290.000 euros, a la que habría que sumar, si así lo decide el Tribunal de Justicia, otras cantidades, también millonarias.

En relación con la citada Directiva, ni en la XII Legislatura (2016-2019) ni en la XIII Legislatura (2019-actualidad), es decir, hasta la fecha en la que la Comisión inició el procedimiento de infracción contra España, se había presentado en el Congreso de los Diputados ninguna iniciativa relativa a su obligada transposición. Por el contrario, si bien caducó, el 7 de diciembre de 2018, sí se presentó el Proyecto de Ley Orgánica sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, siendo su objeto transponer otra Directiva europea relevante. Se trata de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave y que, obviamente, tampoco ha sido transpuesta por el momento, incumpliendo también con el plazo dado en esta.

Sin perjuicio de lo anterior, según el Plan Anual Normativo de la Administración General del Estado para 2018, aprobado el 7 de diciembre de 2017, la transposición de la Directiva sobre protección de datos en el ámbito penal estaba prevista a través de la Ley Orgánica sobre el tratamiento de datos personales para fines policiales y judiciales penales. Ahora bien, salvo dicha referencia, no se produjo avance alguno con la transposición cuyo incumplimiento lleva ahora a España ante el Tribunal de Justicia de la Unión Europea.

¿Cuál es el objeto de la Directiva sobre protección de datos en el ámbito penal?

La Directiva sobre protección de datos en el ámbito penal tiene un doble objeto.

En primer lugar, esta Directiva tiene por objeto “proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales” (art. 1.2.a) cuando son tratados por autoridades policiales o judiciales en materia penal.

Y, en segundo lugar, también “garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales” (art. 1.2.b).

Desde el 6 de mayo de 2018, fecha límite para su transposición, como ya se ha indicado, la Directiva derogó a la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal.

Por lo que se refiere a su contenido, la Directiva tiene ciento siete (107) considerandos y sesenta y cinco (65) artículos que se dividen en diez (10) capítulos. Estos capítulos se refieren, respectivamente, a disposiciones generales; principios; derechos del interesado; responsable y encargado del tratamiento; transferencia de datos personales a terceros países u organizaciones internacionales; autoridades de control independientes; cooperación; recursos, responsabilidad y sanciones; actos de ejecución y disposiciones finales.

Debe tenerse en cuenta que la Directiva establece las normas específicas sobre el tratamiento de datos personales por las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Es decir, la relación con el Reglamento General de Protección de Datos, por un lado, es la de que el tratamiento de datos personales con los fines indicados queda excluido de su alcance, para regirse por un acto jurídico de la UE más específico, como es esta Directiva y, por otro lado, que los demás tratamientos de datos (con otras finalidades) que lleven a cabo dichas autoridades competentes quedaría sujeto a aquél, como la norma general en materia de protección de datos.

¿Cuáles son los principios previstos en la Directiva para el tratamiento de datos?

Son los mismos que los incluidos en el Reglamento General de Protección de Datos. Esto implica que los datos personales tengan que ser tratados para las finalidades indicadas de manera lícita y leal; recogidos para finalidades determinados, explícitos y legítimos y no tratarlos de forma incompatible con esas finalidades; adecuados, pertinentes y no excesivos en relación con los fines del tratamiento; exactos y, si fuera necesario, actualizados; conservados por un plazo limitado, no superior al que sea necesario para la finalidad del tratamiento, y protegidos de manera que se garantice una seguridad adecuada.

Además, al igual que en el Reglamento General de Protección de Datos, se incluye el principio de responsabilidad proactiva (en inglés, “accountability”), de manera que el responsable del tratamiento es responsable del cumplimiento y deberá ser capaz de demostrarlo.

En particular, por lo que se refiere a que las autoridades competentes traten los datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, se prevé la posibilidad de que puedan ser tratados también para fines distintos cuando este tratamiento esté autorizado por el Derecho de la Unión Europea o nacional. Y en dicho caso, salvo que el tratamiento de los datos personales quede fuera del ámbito de aplicación del Derecho de la UE, quedará sujeto al Reglamento General de Protección de Datos.

Además, en el caso del tratamiento de categorías especiales de datos personales, es decir, los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física, se requiere que dicho tratamiento “sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado” y “únicamente” si concurre alguna de las siguientes condiciones: a) lo autoriza el Derecho de la UE o nacional; b) es necesario para proteger los intereses vitales del interesado o de otra persona física, o c) se refiere a datos que el interesado ha hecho manifiestamente públicos.

Por último, como norma general, quedan prohibidas las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente. No obstante, esta norma general de prohibición quedará excepcionada cuando estas decisiones automatizadas, incluida la elaboración de perfiles, estén autorizadas por el Derecho de la UE o nacional que “establezca medidas adecuadas para salvaguardar los derechos y libertades del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento”. Y, si bien estas decisiones automatizadas podrán basarse en categorías especiales de datos cuando se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades fundamentales y los intereses legítimos del interesado, quedarán prohibidas por el Derecho de la UE cuando den lugar a una discriminación de las personas físicas.

¿Cuáles son los derechos de los interesados?

La Directiva sobre protección de datos en el ámbito penal prevé, en su capítulo III, los derechos de los interesados, incluyendo tanto los que requieren de una solicitud por el interesado como aquéllos que no lo están. Es así que se trata de los derechos de información sobre el tratamiento de los datos personales, acceso a los datos personales, rectificación, supresión y limitación de tratamiento.

Estos derechos están sujetos a limitaciones específicas, previstas en la Directiva, tales como evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales; proteger tanto la seguridad pública como nacional, así como proteger los derechos y libertades de otras personas.

Al igual que hace el Reglamento General de Protección de Datos, en cuanto al ejercicio de estos derechos, la Directiva sobre protección de datos en el ámbito penal indica que si las solicitudes de un interesado son “manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo”, el responsable del tratamiento podrá cobrar un canon razonable o negarse a actuar según lo solicitado. En estos casos, recae sobre el responsable del tratamiento la carga de demostrar el carácter manifiestamente infundado o excesivo de las solicitudes del interesado.

Por último, cabe señalar que en el caso de los derechos de información, acceso, rectificación, supresión y limitación, los Estados miembros podrán aplicar su normativa nacional a su ejercicio en el caso de datos personales tratados en resoluciones judiciales o en un registro o expediente tramitado en el curso de investigaciones y procesos penales.

¿Cuáles son las obligaciones del responsable del tratamiento?

Al igual que ocurre en el caso del Reglamento General de Protección de Datos, la Directiva sobre protección de datos en el ámbito penal, prevé que, a partir del análisis de riesgo que implique el tratamiento de los datos personales para los derechos y libertades fundamentales de las personas físicas, los Estados miembros dispongan que los responsables del tratamiento adopten medidas técnicas y organizativas apropiadas para cumplir con esta y sean capaces de demostrar el cumplimiento.

Además, y de igual forma que hace el Reglamento General de Protección de Datos por lo que se refiere al principio de responsabilidad proactiva, la Directiva prevé también que las medidas que se adopten sean revisadas y actualizadas cuando sea necesario, lo que compete al responsable del tratamiento.

En concreto, las obligaciones previstas en la Directiva son las relativas a la protección de datos desde el diseño y por defecto, la elección únicamente de encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas para cumplir con la Directiva, el tratamiento bajo la autoridad del responsable o encargado del tratamiento, el registro de actividades del tratamiento, el registro de operaciones del tratamiento, la cooperación con la autoridad de control, la evaluación de impacto relativa a la protección de datos, la consulta previa a la autoridad de control, la seguridad de la información, la notificación a la autoridad de control de violaciones de la seguridad de los datos, la comunicación a los interesados de violaciones de la seguridad de los datos y la designación de un delegado de protección de datos.

En particular, el registro de operaciones de tratamiento, que tendrán que llevar a cabo tanto el responsable como el encargado del tratamiento, consiste en que, a efectos entre otros de verificar la legalidad del tratamiento de los datos personales, se conserven, como mínimo, registros de las operaciones de tratamiento automatizado relativas a recogida, alteración, consulta, comunicación incluidas las transferencias, combinación o supresión. Este registro estará a disposición de la autoridad de control cuando lo solicite.

Autoridad de control y sanciones en caso de incumplimiento

La Directiva sobre protección de datos en el ámbito penal prevé también que los Estados miembros cuenten con una o varias autoridades de control que supervisen su cumplimiento. Esta o estas autoridades tienen que ser independientes y la Directiva indica que puede tratarse de la autoridad o autoridades de control que hubieran sido creadas por el Estado miembro en virtud del Reglamento General de Protección de Datos.

Esto significa que, en el caso de España, deba tenerse en cuenta el ámbito competencial de la Agencia Española de Protección de Datos, la Agencia Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía. Y por lo que se refiere a las autoridades judiciales, deberán tenerse también en cuenta las competencias del Consejo General del Poder Judicial en el caso de los tratamientos con fines jurisdiccionales.

En cuanto a la sanciones en caso de incumplimiento de la Directiva, conforme a su artículo 84 los Estados miembros establecerán las sanciones para las infracciones de aquélla. Estas sanciones serán efectivas, proporcionadas y disuasorias.

¿Se aplica alguna normativa en materia de protección de datos en el ámbito policial y judicial penal en España?

Sí. Aunque la Directiva sobre protección de datos en el ámbito penal no ha sido transpuesta, debe tenerse en cuenta que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, incluye tanto la disposición adicional decimocuarta, sobre las normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE, como la disposición transitoria cuarta, relativa a los tratamientos de datos personales sometidos a aquélla.

La disposición adicional mencionada se refiere a las disposiciones dictadas en aplicación del artículo 13 de la Directiva 95/46/CE, relativo a las excepciones y limitaciones a los derechos de los interesados, e indica que cuando “hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas”.

Y la disposición transitoria indica específicamente que estos tratamientos “continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva”.

Por tanto, hasta que no se transponga la Directiva sobre protección de datos en el ámbito penal, los artículos 22 a 24 de la Ley Orgánica 15/1999, y las disposiciones que los desarrollen, siguen siendo aplicables a los tratamientos de datos personales en el ámbito policial.