fbpx

Penal

La protección de datos personales en el proceso penal: Directiva 2016/680

Tribuna

Últimamente ha entrado en vigor una nueva normativa reguladora de la protección de datos personales: el Reglamento 2016/679 UE sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) –EDL 2016/48900-; y la LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) -EDL 2018/128249-. Sin embargo, estas normas no son directamente aplicables a los procesos penales, sino que debemos acudir a la Directiva 2016/680 -EDL 2016/48901-.

Existe un gran volumen de datos personales que son recopilados y conservados por las entidades públicas y privadas para el ejercicio de sus propios fines, que afectan a ámbitos muy variados y que frecuentemente son relevantes para la investigación de los delitos y la ulterior prueba en el proceso penal. En cambio, la regulación de la obtención, cesión y tratamiento de los datos personales en el proceso penal ha venido siendo deficitaria; lo que podrá mitigarse mediante una adecuada transposición de la Directiva 2016/680 -EDL 2016/48901-.

I. Normativa reguladora

1. Directiva (UE) 2016/680 –EDL 2016/48901-

Los procesos judiciales en el ámbito penal no están sometidos al régimen general contenido en el RGPD -EDL 2016/48900- y la LOPDGDD -EDL 2018/128249-, sino que tienen un régimen propio contenido en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales –EDL 2016/48901-, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo –EDL 2008/233305- .

Así lo recuerda el art.2.2 d) RGPD –EDL 2016/48900-, cuando dispone que el Reglamento no se aplica al tratamiento de datos personales «por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención». Y así viene a reconocerse en la Disp Trans 4ª LOPDGDD -EDL 2018/128249-.

2. Normativa supletoria

En los procesos penales se aplica supletoriamente el régimen del RGPD -EDL 2016/48900- y la LOPDGDD –EDL 2018/128249-, tal y como se deduce del art.2.3 LOPDGDD cuando dispone que «los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 -EDL 2016/48900- por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».

3. Periodo transitorio hasta la transposición de la Directiva -EDL 2016/48901- en Derecho interno español

Téngase en cuenta que la Directiva 2016/680 -EDL 2016/48901- establece un plazo de transposición que finalizó el día 6 de mayo de 2018, sin que se haya procedido a realizarla en el ordenamiento interno español.

Hasta la transposición de dicha Directiva -EDL 2016/48901-, la actuación de los funcionarios y autoridades policiales y judiciales en el ejercicio de las funciones de investigación y enjuiciamiento de delitos seguirá regulándose por la normativa interna española contenido en la LO 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal -EDL 1999/63731-, y en particular el art.22, y sus disposiciones de desarrollo, tal y como lo dispone expresamente la Disp Trans 4ª de la LOPDGDD -EDL 2018/128249- (1). Sin embargo, lo dispuesto en esta Disp Trans 4ª despliega efectos especialmente en relación a los ficheros policiales, porque la normativa de los ficheros jurisdiccionales en el proceso penal se encuentra recogida en la propia LOPJ -EDL 1985/8754-, ya que ésta afecta a los datos personales en procesos en todos los órdenes jurisdiccionales.

En todo caso, pese a la falta de transposición, la Directiva -EDL 2016/48901- no transpuesta despliega una serie de efectos en la aplicación judicial, y ello por cuanto las obligaciones derivadas de la directiva recaen sobre todos los órganos del Estado, cada uno dentro de su respectiva competencia, incluidos los órganos jurisdiccionales(2). De esta forma, los tribunales internos están obligados a contribuir al cumplimiento por parte del Estado de los deberes impuestos por una Directiva, ya sea a través de la aplicación directa de la propia Directiva (efecto directo), o ya sea mediante la interpretación del Derecho interno de conformidad con el contenido de la Directiva (principio de interpretación conforme). Examinemos cada una de esas dos dimensiones.

3.1.- Interpretación conforme a la Directiva

Al amparo del principio de la interpretación conforme a la Directiva, los jueces españoles tienen la obligación de forzar al límite la interpretación del Derecho interno en la búsqueda de una interpretación conforme (o concurrente o consistente) con la correspondiente directiva, descartando en todo caso la interpretación contra legem. Afirma expresamente el TJCE en el asunto Marleasing de 13-11-90 (C-106/89) –EDJ 1990/19420- que, «al aplicar el derecho nacional, ya sean disposiciones anteriores o posteriores a la directiva, el órgano jurisdiccional nacional que debe interpretarla está obligado a hacer todo lo posible, a la luz de la letra y de la finalidad de la directiva, para, al efectuar dicha interpretación, alcanzar el resultado a que se refiere la directiva y de esta forma atenerse al párrafo tercero del art. 189 -actual 249- del Tratado». En todo caso, la interpretación de la legislación interna de conformidad con la Directiva no es algo absoluto, sino que se encuentra sometida a límites(3), para lo cual debemos distinguir entre diferentes tipos de interpretación:

  • Interpretación secundum legem. Cuando el tenor de la norma nacional pueda ser entendida en diversos sentidos, el Juez nacional debe optar por aquélla interpretación que ponga la disposición interna en sintonía con la Directiva.
  • Interpretación contra legem, es decir, cuando el resultado de la interpretación de la norma interna es contrario al ordenamiento nacional. En estos casos, la interpretación de la legislación interna de conformidad con la Directiva nunca puede conducir a un resultado contrario a la legislación interna.

3.2.- Posible efecto directo

Y también cabe plantear un posible efecto directo vertical de la Directiva 2016/680 -EDL 2016/48901- en relación con los derechos reconocidos por la misma a los particulares frente a los poderes públicos, siempre que concurran los presupuestos a tal efecto exigidos por la jurisprudencia del TJUE, que recoge el propio TC español(4):

  • Que el Estado miembro de la UE no haya transpuesto la directiva antes del plazo correspondiente; lo que ocurre en relación con la Directiva 2016/680 -EDL 2016/48901-.
  • Que la aplicación se refiera a disposiciones incondicionales y suficientemente claras y precisas, que contemplen derechos a los ciudadanos

Cabe recordar que el efecto directo vertical reconoce la posibilidad de que un particular invoque normas contenidas en una Directiva -EDL 2016/48901- no ejecutada en el Estado del que es nacional, porque su efecto útil se vería debilitado si se impidiera a los justiciables hacerlo valer en justicia y a las jurisdicciones nacionales tomarlo en consideración en cuanto elemento de Derecho comunitario. Como recuerda Pérez Van Kappel(5), «el Estado miembro que no haya adaptado dentro del plazo las medidas de ejecución que impone una directiva, no puede oponer a los particulares su propio incumplimiento de las obligaciones que la directiva implica».

II. Sistema de Protección de datos personales en el proceso penal

1. Derechos reconocidos a los titulares

Los derechos de los titulares de los datos personales en el ámbito del 18.4 Const –EDL 1978/3879- son regulados en la Directiva, así como en la normativa nacional que proceda a transponerla(6). Téngase en cuenta que la Directiva -EDL 2016/48901- reconoce los siguientes derechos al interesado:

  • Derecho de acceso (art.14 -EDL 2016/48901-): tiene derecho a obtener del responsable confirmación sobre si se están tratando sus datos; y en caso positivo, tiene derecho de acceso a dichos datos y a determinadas informaciones recogidas en el precepto. Este derecho puede ser limitado por el Estado miembro de conformidad con el art.15 -EDL 2016/48901-.
  • Derecho de rectificación o supresión de datos personales y limitación de su tratamiento (art.16 -EDL 2016/48901-), que puede ser limitado por el Estado miembro de conformidad con el art.16.4
  • Para facilitar el ejercicio de estos derechos, los art.12 y 13 -EDL 2016/48901- establecen una serie de obligaciones de información del responsable del tratamiento
  • Derechos en relación con decisiones individuales no únicamente automatizadas (art.11 -EDL 2016/48901-), cuestión que se examina posteriormente.

El interesado es titular de estos derechos en relación con los datos obrantes en los ficheros jurisdiccionales de procesos penales, y la regulación de los mismos contenida en la Directiva -EDL 2016/48901- será directamente aplicable en España en aquellos casos en los que concurran los presupuestos para el efecto directo, que han sido analizados anteriormente.

En ocasiones la Directiva establece, en la concreta regulación de cada uno de esos derechos, la posibilidad de que el Estado adopte medidas legislativas que restrinjan total y/o parcialmente el específico derecho de que se trate, siempre que concurran determinadas condiciones; por ejemplo, su art.15 -EDL 2016/48901- dispone que los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, el derecho de acceso del interesado con arreglo a determinados requisitos que expone. En estos casos, y hasta que se proceda a la transposición, resultará aplicable la normativa interna española vigente, la cual ha de ser en todo caso interpretada de conformidad con el contenido de la Directiva (principio de interpretación conforme a la Directiva) en los términos expuestos con anterioridad.

2. Procedimientos para ejercitar los derechos

El ejercicio de estos derechos se realizará de conformidad con el Derecho interno de cada Estado (art.18 de la Directiva -EDL 2016/48901-); y la propia Directiva reconoce (Considerandos 49 y 107) que la regulación de estos procedimientos se contendrá en el Derecho procesal del Estado miembro. El Considerando (49) afirma que «cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional»; y el (107) que «la presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un proceso penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional».

El Derecho español vigente reconoce que, cuando se trata de datos obrantes en el proceso penal, los derechos se ejercitarán de acuerdo con los normas procesales en cada una de las jurisdicciones (art.18 Directiva -EDL 2016/48901- y art. 236 octies.1 LOPJ -EDL 1985/8754-) con las especificidades que contenga la LOPJ; sin perjuicio de lo que pueda disponerse en la transposición de la Directiva(7).

Téngase en cuenta que la LOPJ -EDL 1985/8754- contiene varias disposiciones que son relevantes en relación con los datos personales incorporados en los procesos judiciales:

  • Supresión de datos en documentos procesales. El art.236 quinquies.1 LOPJ -EDL 1985/8754- contempla que los Jueces y Tribunales, así como los Letrados de la Administración de Justicia, cada uno de acuerdo con sus respectivas competencias procesales, pueden adoptar las medidas que sean necesarias para la supresión de los datos personales de los documentos (incluidos las sentencias y demás resoluciones judiciales) a los que puedan acceder las partes durante la tramitación del proceso; con una limitación, esto es, que no sean necesarios para garantizar su derecho a la tutela judicial efectiva.
  • Normas sobre acceso al proceso de quienes no son parte. La LOPJ -EDL 1985/8754- contiene diferentes normas en relación con actuaciones judiciales públicas, es decir, juicios, comparecencias y vistas (art.232)(8); sobre estado, examen y conocimiento de actuaciones judiciales, así como obtención de copias y testimonios (art.234); y sobre el acceso a libros, archivos y registros judiciales (art.235).
    • Todo ello sin perjuicio de las normas reguladoras del acceso a la información judicial por parte de los medios de comunicación, destacando al efecto el «Protocolo de Comunicación de la Justicia», presentado por el Presidente del CGPJ al Pleno de la institución el día 27 de septiembre de 2018. Cabe destacar que este Protocolo establece que, en todos los envíos a los medios de comunicación por las Oficinas de Comunicación se incluirá de forma obligatoria una advertencia sobre la responsabilidad del medio de comunicación en la difusión de datos personales contenidos en el texto de la resolución judicial, de acuerdo al criterio establecido por los órganos técnicos afectados y el delegado de Protección de Datos del CGPJ; esta advertencia dirá textualmente: «Esta comunicación no puede ser considerada como la publicación oficial de un documento público. La comunicación de los datos de carácter personal contenidos en la resolución judicial adjunta, no previamente disociados, se realiza en cumplimiento de la función institucional que el artículo 54.3 del Reglamento 1/2000 de 26 de julio, de los órganos de gobierno de los tribunales –EDL 2000/85260-, atribuye a esta Oficina de Comunicación, a los exclusivos efectos de su eventual tratamiento con fines periodísticos en los términos previstos por el artículo 85 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales -EDL 2016/48900-. En todo caso será de aplicación lo dispuesto en la normativa de protección de datos de carácter personal al tratamiento que los destinatarios de esta información lleven a cabo de los datos personales que contenga la resolución judicial adjunta, que no podrán ser cedidos ni comunicados con fines contrarios a las leyes».
  • Acceso a los datos de sentencias y otras resoluciones procesales: el art.235 bis LOPJ -EDL 1985/8754- establece que, sin perjuicio de las restricciones que pudieran establecerse en las leyes procesales, el acceso al texto de las sentencias, o a determinados extremos de las mismas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo:
    • Previa disociación de los datos de carácter personal que los mismos contuvieran
    • Con pleno respeto al derecho a la intimidad y a los derechos de las personas que requieran un especial deber de tutela
    • Y con la garantía del anonimato de las víctimas o perjudicados, cuando proceda.

3. Autoridad de control

3.1. Supervisión independiente en relación con ficheros jurisdiccionales

La normativa de protección de datos otorga gran relevancia al papel de la Autoridad de control, a quien atribuye la misión de «supervisar la aplicación de la presente Directiva, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión» (art.41.1 Directiva -EDL 2016/48901-), concretando sus funciones en el art.46 Directiva.

La propia Directiva -EDL 2016/48901- contempla que el cumplimiento de sus normas por los órganos jurisdiccionales y otras autoridades judiciales independientes (por ejemplo la Fiscalía) ha de estar sujeto a una supervisión independiente de conformidad con el art.8, aptdo 3, de la Carta (último inciso del Considerando 80).

Sin embargo, la misma Directiva también entiende que la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los órganos jurisdiccionales actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones (Considerando 80). Por ello, el primer inciso del art.45.2 de la Directiva -EDL 2016/48901- dispone que «los Estados miembros dispondrán que cada autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función judicial»(9). De esta forma, la actuación de la Agencia Española de Protección de Datos y de las agencias de las CCAA no puede en ningún caso extenderse a los ficheros jurisdiccionales.

En la normativa española vigente, las competencias que la normativa de protección de datos (RGPD -EDL 2016/48900- y LOPDGDD -EDL 2018/128249-) atribuye a la Agencia Española de Protección de Datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial (art.236.1 nonies LOPJ -EDL 1985/8754-).

3.2. Autoridad de control en relación con ficheros de Fiscalía

Por otra parte, el segundo inciso del mismo art.45.2 de la Directiva -EDL 2016/48901- establece que «los Estados miembros podrán disponer que su autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por otras autoridades judiciales independientes en el ejercicio de su función judicial», como por ejemplo la Fiscalía (Considerando 80) o incluso el Tribunal Constitucional(10). De esta manera, el ordenamiento interno del Estado podrá disponer que, en estos casos, las operaciones de tratamiento queden sometidas a la autoridad de control (en nuestro país la Agencia Española de Protección de Datos); o bien puede adoptar otra solución(11).

III. Principios aplicables al tratamiento de datos en el ámbito penal

Como principio general, las actividades de obtención y tratamiento del dato pueden realizarse siempre que(12): a) estén previstas en la legislación; b) constituyan una medida necesaria y proporcionada en una sociedad democrática; y c) con el debido respeto a los intereses legítimos de la persona física afectada.

La Directiva -EDL 2016/48901- recoge una serie de principios aplicables al tratamiento de datos personales (art.4), que determinan obligaciones de los responsables y encargados de dicho tratamiento, y que han de ser recogidos por los Estados miembros en su respectivo ordenamiento interno

1. Principio de licitud y lealtad

Los datos han de ser tratados de manera lícita y leal (art.4.1 -EDL 2016/48901-). Analicemos por separado cada uno de estos elementos.

Los Estados miembros dispondrán que el tratamiento solo sea lícito (licitud) en la medida en que sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines establecidos en el art.1, aptdo. 1 -EDL 2016/48901-, esto es, la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública; y siempre que esté basado en el Derecho de la Unión o del Estado miembro (art.8.1 de la Directiva). En este último caso, el ordenamiento interno del Estado deberá indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento (art.8.2 de la Directiva).

El tratamiento conforme al principio de lealtad (transparencia) supone que el interesado debe estar en condiciones de conocer la existencia del tratamiento(13); y, cuando los datos se obtengan de ellos mismos, contar con una información precisa y completa respecto a las circunstancias de dicha obtención, el fin para el que se recaban, cuál va a ser el tratamiento a que van a ser sometidos, qué se va a hacer con el resultado de ese tratamiento en el que ha podido haber una retroalimentación para tratar y/o generar nuevos datos y si se van a ceder o comunicar a terceros (considerando 38 de la Directiva 1995)(14). Como afirma el considerando 60 del RGPD -EDL 2016/48900-, «los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran (...)».

La Directiva 2016/80 -EDL 2016/48901- establece una serie de obligaciones de información exigibles al responsable del tratamiento (art.13), pero también contiene la posibilidad de que las mismas no resulten de aplicación mediante medidas legislativas de los Estados miembros para una de las siguientes finalidades: evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales; evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; proteger la seguridad pública; proteger la seguridad nacional; o proteger los derechos y libertades de otras personas (art.13.3). Quedamos a la espera de cómo la normativa de transposición regulará esta cuestión.

2. Principio de limitación de la finalidad

Los datos personales han de ser recogidos con fines determinados, explícitos y legítimos; y no deben ser tratados de forma incompatible con dichos fines (art.4.1-b y 9 Directiva -EDL 2016/48901-). Afirma el Considerando 29 de la Directiva que «los datos personales deben recogerse con fines determinados, explícitos y legítimos dentro del ámbito de aplicación de la presente Directiva y no deben ser tratados para fines incompatibles con los fines de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Si el mismo u otro responsable del tratamiento trata datos personales con alguno de los fines previstos en el ámbito de aplicación de la presente Directiva distinto del fin para el que los datos fueron recopilados, dicho tratamiento debe permitirse con la condición de que el mismo esté autorizado con arreglo a la legislación aplicable y sea necesario y proporcionado para dicho otro fin».

3. Principio de minimización

Los datos han de ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados (letra c del artículo 4 -EDL 2016/48901-)

4. Principio de exactitud

Los datos han de ser exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados. El Considerando 30 de la Directiva -EDL 2016/48901- explica que «el principio de exactitud de los datos debe aplicarse teniendo presente el carácter y finalidad del tratamiento correspondiente. En particular en los procedimientos judiciales, las declaraciones que contienen datos personales se basan en la percepción subjetiva de las personas físicas y no siempre son verificables. En consecuencia, el requisito de exactitud no debe relacionarse con la exactitud de una afirmación, sino exclusivamente con el hecho de que se ha formulado una afirmación concreta».

La Directiva -EDL 2016/48901- contempla que los Estados miembros han de disponer que los datos personales basados en hechos se distingan, en la medida de lo posible, de los datos personales basados en apreciaciones personales (art.7).

5. Principio de limitación del plazo de conservación

Los datos personales han de ser conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados (letra f del art.4 -EDL 2016/48901-). De esta forma, el art.5 -EDL 2016/48901 establece que «los Estados miembros dispondrán que se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de los datos personales. Las normas de procedimiento garantizarán el cumplimiento de dichos plazos».

6. Principio de integridad y confidencialidad

Los datos han de ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas (letra f del art.4 -EDL 2016/48901-). Téngase en cuenta que el art.3.11 de la Directiva define violación de la seguridad de los datos personales «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma».

Según el Considerando (28), «con el fin de mantener la seguridad del tratamiento y evitar que con él se infrinja lo dispuesto en la presente Directiva -EDL 2016/48901-, los datos personales deben ser tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos o el uso no autorizado de los mismos y del equipo utilizado en el tratamiento, teniendo en cuenta el desarrollo técnico existente y la tecnología, los costes de ejecución con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse». En este sentido, la normativa europea introduce un modelo que puede denominarse de «gestión de riesgos»(15) , en el que cada entidad ha de establecer aquellas medidas técnicas y organizativas que sean proporcionales a los concretos riesgos inherentes al tratamiento.

7. Principio de responsabilidad

El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, debe (art.19 Directiva -EDL 2016/48901-): a) aplicar las medidas técnicas y organizativas apropiadas para garantizar; y b) estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con la presente Directiva.

8. Principio de protección de datos por defecto y desde el diseño

El responsable del tratamiento, teniendo en cuenta el estado de la técnica y el coste de la aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, debe aplicar, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento, de tal manera que este cumpla los requisitos de la presente Directiva y se protejan los derechos de los interesados (art.20.1 de la Directiva -EDL 2016/48901-).

Asimismo, y de conformidad con el art.20.2 Directiva -EDL 2016/48901-, el responsable del tratamiento ha de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. En concreto, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles, sin intervención de la persona, a un número indeterminado de personas físicas.

El contenido de este principio se encuentra bien explicado en el Considerando (78), según el cual «a fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos».

IV. Datos especialmente sensibles

1. Categorías especiales de datos

La Directiva contiene disposiciones específicas referidas a los datos especialmente sensibles («categorías especiales de datos personales«). De esta manera, el art.10 -EDL 2016/48901- dispone que «el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y únicamente cuando: a) lo autorice el Derecho de la Unión o del Estado miembro; b) sea necesario para proteger los intereses vitales del interesado o de otra persona física, o c) dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos».

Explica el Considerando 37 de la Directiva -EDL 2016/48901- que «especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. Dichos datos personales deben incluir aquellos que pongan de manifiesto el origen racial o étnico, entendiéndose que el término «origen racial» empleado en la presente Directiva no implica la aceptación por parte de la Unión Europea de teorías que traten de determinar la existencia de razas humanas diferentes. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté supeditado a las garantías adecuadas de protección de los derechos y libertades del interesado que se establecen en la legislación y esté permitido en los casos autorizados por la ley; o, si no está ya autorizado por dicha legislación, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona, o que el tratamiento se refiera a datos que el interesado ya ha hecho públicos de forma manifiesta. Entre las garantías adecuadas de protección de los derechos y libertades del interesado pueden figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente en relación con otros datos de la persona física afectada, la posibilidad de proteger adecuadamente los datos recopilados, el establecimiento de normas más estrictas para el acceso a los datos por parte del personal de la autoridad competente, o la prohibición de transmisión de dichos datos. El tratamiento de este tipo de datos también debe estar jurídicamente permitido si el interesado ha acordado de forma explícita que el tratamiento de los datos resulte especialmente intrusivo para las personas. Sin embargo, el consentimiento del interesado no debe constituir en sí mismo un fundamento jurídico para que las autoridades competentes procedan al tratamiento de datos personales sensibles como los mencionados».

En definitiva, la Directiva -EDL 2016/48901- admite el tratamiento de esta categoría de datos, pero lo considera excepcional, lo que lleva consigo tres tipos de consecuencias:

  • En primer lugar, el tratamiento solamente es posible en los supuestos tasados del art.10 Directiva -EDL 2016/48901-
  • En segundo lugar, cuando dicho tratamiento sea estrictamente necesario
  • En tercer lugar, se deberán adoptar específicas medidas técnicas y organizativas, con fundamento en los mayores riesgos que penden sobre este tipo de datos (argumento ex art.19.1 Directiva -EDL 2016/48901-).

2. Tratamiento de datos sobre condenas e infracciones penales

Dentro de la categoría de datos especiales, que necesitan una especial protección, la normativa de protección de datos personales contiene disposiciones relativas a sobre condenas e infracciones penales, así́ como a procedimientos y medidas cautelares y de seguridad conexas

En primer lugar, nos referimos al tratamiento que se realiza con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. En estos casos, el tratamiento es posible, pero plenamente sometido al régimen de la Directiva en los términos de la normativa aplicable que se ha expuesto anteriormente.

En segundo lugar, cuando el tratamiento se realiza con otros fines:, el principio general consiste en que el mismo no es posible. Aunque la propia normativa reconoce excepciones: será posible cuando se encuentre amparado en una norma de Derecho de la Unión, en la LOPDGDD -EDL 2018/128249- o en otras normas de rango legal (principio de reserva de Ley); por otra parte, el art.10.3 LOPDGDD contiene un supuesto en el que permite el tratamiento de estos datos: «cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones».

En tercer lugar, el registro completo de estos datos solamente se permite bajo el control de las autoridades públicas (art.10 RGPD -EDL 2016/48900-). En España podrá́ realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia (art.20.2 LOPDGDD -EDL 2018/128249-)

Para complementar este especial régimen de protección, el art.72.1 f) LOPDGDD -EDL 2018/128249- considera como infracción muy grave «el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 -EDL 2016/48900- y en el artículo 10 de esta ley orgánica».

V. Delegado de protección de datos

Como novedad de la Directiva, cabe destacar que en sus art.32 a 34 -EDL 2016/48901- contempla que los Estados miembros dispongan que el responsable del tratamiento designe un delegado de protección de datos; aunque podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales.

Atendiendo a la posición y funciones que la Directiva le atribuye, parece que no se está pensando en una persona ajena a la organización del responsable del tratamiento, sino más bien en alguien perteneciente a su propia organización, que pueda dedicarse a tiempo completo o a tiempo parcial en estas funciones. Pero esta decisión deberá adoptarse en la transposición y su normativa de desarrollo.

NOTAS:

1.- La Disp Trans 4ª LOPDGDD -EDL 2018/128249-, dispone que «los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales -EDL 2016/48901-, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo –EDL 2008/233305-, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre –EDL 1999/63731-, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva».

2.- Como razona Mangas Martín, «ante la falta de transposición, o en caso de transposición incorrecta por los poderes públicos competentes, se traslada a los jueces, también órganos del Estado, la obligación de tomar las medidas necesarias para alcanzar en el litigio concreto el resultado querido por la directiva, ya tengan efecto directo sus disposiciones o no lo tengan» «Las relaciones entre el Derecho Comunitario y el Derecho interno de los Estados miembros a la luz de la Jurisprudencia del Tribunal de Justicia», dentro de la obra colectiva El Derecho Comunitario Europeo y su aplicación judicial, editado por el CGPJ, la Universidad de Granada y la editorial Civitas, Madrid, 1993, pág. 81.

3.- Véase el análisis de esta cuestión en María del Pilar Bello Martín-Crespo, «Las Directivas como criterio de interpretación del Derecho nacional (especial consideración de la Jurisprudencia del TS en la aplicación del Derecho Mercantil)», Editorial Civitas, Madrid, 1999, págs. 123 y ss.

4.- La STCo 30-1-16 se refiere al efecto directo del art.7 de la Directiva 2012/13/UE, de 22 mayo 2012 –EDL 2012/94603-, desde la fecha en que expiró el plazo para su transposición (2 de junio de 2014), hasta la de la entrada en vigor de la LO 5/2015, de 27 abril –EDL 2015/52202-, que llevó a cabo este último cometido. Afirma expresamente la STCo que «no cabe rechazar tampoco la posibilidad de que una Directiva comunitaria que no haya sido transpuesta dentro de plazo por el legislador español, o que lo haya sido de manera insuficiente o defectuosa, pueda ser vinculante en cuanto contenga disposiciones incondicionales y suficientemente precisas en las que se prevean derechos para los ciudadanos, incluyendo aquellos de naturaleza procesal que permitan integrar por vía interpretativa el contenido esencial de los derechos fundamentales, al haberse incorporado por vía de la jurisprudencia del Tribunal de Justicia de la Unión Europea, al acervo comunitario».

5.- Antonio Pérez Van Kappel, que cita la Sentencia de 5-4-79 (Ratti) –EDJ 1979/7842-, «El efecto directo del Derecho de la Unión Europea», Cuadernos Digitales de Formación, Espacio judicial europeo social. III Edición (2013-2014), Consejo General del Poder Judicial

6.- Miguel Marcos Ayjón afirma que «en términos generales, nuestra normativa procesal y orgánica cumple con el contenido de la Directiva, pero no contempla aspectos sustanciales de la misma, entre los que cabe destacar: la creación y regulación de la figura del «Delegado de protección de datos» (art. 32 s -EDL 2016/48901- necesaria para el ejercicio múltiples cometidos), la regulación del derecho de información al interesado (art.13), el derecho de acceso a los que no son parte en el procedimiento pero cuyos datos constan en el mismo como testigos y peritos (art.14), el ejercicio de los derechos de rectificación o supresión de los datos personales y limitación (art.16), así como la determinación de la autoridad de control para los ficheros de la Fiscalía (art.41, de máxima importancia en el supuesto de instrucción de todas las causas penales)» (...); en «Las múltiples implicaciones de la protección de datos en la justicia penal», La Ley Penal, Nº 132, Mayo-Junio 2018, Editorial Wolters Kluwer.

7.-Téngase en cuenta que el art.18 de la Directiva -EDL 2016/48901-, al regular los derechos del interesado en las investigaciones y los procesos penales, establece que «los Estados miembros podrán disponer que el ejercicio de los derechos a los que se hace referencia en los artículos 13, 14 y 16 se lleve a cabo de conformidad con el Derecho del Estado miembro cuando los datos personales figuren en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales». En esta línea, su considerando (49) afirma que «cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional»; y su considerando (107) añade que «la presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un proceso penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional.»

8.- Para profundizar en estas cuestiones, véase Corazón Mira Ros, «Algunas reflexiones sobre la protección de datos personales en el ámbito judicial», dentro de «Los retos del Poder Judicial ante la sociedad globalizada: Actas del IV Congreso Gallego de Derecho Procesal», Universidad da Coruña, 2012.

9.- Ignacio Colomer Hernández afirma que «por disposición expresa del legislador comunitario, en todo caso, en ningún Estado miembro de la Unión, y por supuesto tampoco en España, la autoridad de control podrá entrar a controlar el uso y tratamiento de los datos personales que realicen los tribunales en el ejercicio de su función jurisdiccional»; en «A Propósito de la compleja trasposición de la Directiva 2016/680 relativa al tratamiento de datos personales para fines penales», Diario La Ley, Nº 9179, Sección Doctrina, 17 de Abril de 2018.

10.- Ignacio Colomer Hernández, «A Propósito de la compleja trasposición de la Directiva (...)», trabajo citado

11.- Ignacio Colomer Hernández considera que «habrá que esperar a la decisión que adopte en la trasposición el legislador español, para ver si los tratamientos de datos efectuados por autoridades judiciales independientes en el ejercicio de la función judicial (esencialmente los realizados por el ministerio fiscal) quedan dentro de la competencia de la autoridad de control (...)»; en «Control del Tratamiento de datos Personales Penales y Tutela Judicial Efectiva en la Directiva 2016/680 -EDL 2016/48901-», La Ley Penal, Editorial Wolters Kluwer.

12.- Considerando 26 de la Directiva -EDL 2016/48901-.

13.- Faustino Gudín Rodríguez-Magariños recuerda que «el tratamiento leal implica la trasparencia de los tratamientos y de los motivos lícitos para la recogida y uso de los datos, especialmente respecto a los interesados»; en «Nuevo Reglamento Europeo de Protección de Datos Versus Big Data», Editorial Tirant lo Blanch, 2018, página 80

14.- Véase Miguel Ángel Davara Rodríguez, «Una primera aproximación al Reglamento europeo de protección de Datos y su incidencia en el tratamiento de datos de carácter personal en las Administraciones Públicas», Actualidad Administrativa, No 4, Sección Administración del siglo XXI, Abril 2018

15.- Javier Alonso Lecuit, «La entrada en vigor del Reglamento General para la Protección de Datos desde la perspectiva de ciberseguridad», disponible en web:

http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari23-2018-alonsolecuit-reglamento-general-proteccion-datos

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 15 de febrero de 2019.

Penal

La protección de datos personales en el proceso penal: Directiva 2016/680

Tribuna

Últimamente ha entrado en vigor una nueva normativa reguladora de la protección de datos personales: el Reglamento 2016/679 UE sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) –EDL 2016/48900-; y la LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) -EDL 2018/128249-. Sin embargo, estas normas no son directamente aplicables a los procesos penales, sino que debemos acudir a la Directiva 2016/680 -EDL 2016/48901-.

Existe un gran volumen de datos personales que son recopilados y conservados por las entidades públicas y privadas para el ejercicio de sus propios fines, que afectan a ámbitos muy variados y que frecuentemente son relevantes para la investigación de los delitos y la ulterior prueba en el proceso penal. En cambio, la regulación de la obtención, cesión y tratamiento de los datos personales en el proceso penal ha venido siendo deficitaria; lo que podrá mitigarse mediante una adecuada transposición de la Directiva 2016/680 -EDL 2016/48901-.

I. Normativa reguladora

1. Directiva (UE) 2016/680 –EDL 2016/48901-

Los procesos judiciales en el ámbito penal no están sometidos al régimen general contenido en el RGPD -EDL 2016/48900- y la LOPDGDD -EDL 2018/128249-, sino que tienen un régimen propio contenido en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales –EDL 2016/48901-, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo –EDL 2008/233305- .

Así lo recuerda el art.2.2 d) RGPD –EDL 2016/48900-, cuando dispone que el Reglamento no se aplica al tratamiento de datos personales «por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención». Y así viene a reconocerse en la Disp Trans 4ª LOPDGDD -EDL 2018/128249-.

2. Normativa supletoria

En los procesos penales se aplica supletoriamente el régimen del RGPD -EDL 2016/48900- y la LOPDGDD –EDL 2018/128249-, tal y como se deduce del art.2.3 LOPDGDD cuando dispone que «los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 -EDL 2016/48900- por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».

3. Periodo transitorio hasta la transposición de la Directiva -EDL 2016/48901- en Derecho interno español

Téngase en cuenta que la Directiva 2016/680 -EDL 2016/48901- establece un plazo de transposición que finalizó el día 6 de mayo de 2018, sin que se haya procedido a realizarla en el ordenamiento interno español.

Hasta la transposición de dicha Directiva -EDL 2016/48901-, la actuación de los funcionarios y autoridades policiales y judiciales en el ejercicio de las funciones de investigación y enjuiciamiento de delitos seguirá regulándose por la normativa interna española contenido en la LO 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal -EDL 1999/63731-, y en particular el art.22, y sus disposiciones de desarrollo, tal y como lo dispone expresamente la Disp Trans 4ª de la LOPDGDD -EDL 2018/128249- (1). Sin embargo, lo dispuesto en esta Disp Trans 4ª despliega efectos especialmente en relación a los ficheros policiales, porque la normativa de los ficheros jurisdiccionales en el proceso penal se encuentra recogida en la propia LOPJ -EDL 1985/8754-, ya que ésta afecta a los datos personales en procesos en todos los órdenes jurisdiccionales.

En todo caso, pese a la falta de transposición, la Directiva -EDL 2016/48901- no transpuesta despliega una serie de efectos en la aplicación judicial, y ello por cuanto las obligaciones derivadas de la directiva recaen sobre todos los órganos del Estado, cada uno dentro de su respectiva competencia, incluidos los órganos jurisdiccionales(2). De esta forma, los tribunales internos están obligados a contribuir al cumplimiento por parte del Estado de los deberes impuestos por una Directiva, ya sea a través de la aplicación directa de la propia Directiva (efecto directo), o ya sea mediante la interpretación del Derecho interno de conformidad con el contenido de la Directiva (principio de interpretación conforme). Examinemos cada una de esas dos dimensiones.

3.1.- Interpretación conforme a la Directiva

Al amparo del principio de la interpretación conforme a la Directiva, los jueces españoles tienen la obligación de forzar al límite la interpretación del Derecho interno en la búsqueda de una interpretación conforme (o concurrente o consistente) con la correspondiente directiva, descartando en todo caso la interpretación contra legem. Afirma expresamente el TJCE en el asunto Marleasing de 13-11-90 (C-106/89) –EDJ 1990/19420- que, «al aplicar el derecho nacional, ya sean disposiciones anteriores o posteriores a la directiva, el órgano jurisdiccional nacional que debe interpretarla está obligado a hacer todo lo posible, a la luz de la letra y de la finalidad de la directiva, para, al efectuar dicha interpretación, alcanzar el resultado a que se refiere la directiva y de esta forma atenerse al párrafo tercero del art. 189 -actual 249- del Tratado». En todo caso, la interpretación de la legislación interna de conformidad con la Directiva no es algo absoluto, sino que se encuentra sometida a límites(3), para lo cual debemos distinguir entre diferentes tipos de interpretación:

  • Interpretación secundum legem. Cuando el tenor de la norma nacional pueda ser entendida en diversos sentidos, el Juez nacional debe optar por aquélla interpretación que ponga la disposición interna en sintonía con la Directiva.
  • Interpretación contra legem, es decir, cuando el resultado de la interpretación de la norma interna es contrario al ordenamiento nacional. En estos casos, la interpretación de la legislación interna de conformidad con la Directiva nunca puede conducir a un resultado contrario a la legislación interna.

3.2.- Posible efecto directo

Y también cabe plantear un posible efecto directo vertical de la Directiva 2016/680 -EDL 2016/48901- en relación con los derechos reconocidos por la misma a los particulares frente a los poderes públicos, siempre que concurran los presupuestos a tal efecto exigidos por la jurisprudencia del TJUE, que recoge el propio TC español(4):

  • Que el Estado miembro de la UE no haya transpuesto la directiva antes del plazo correspondiente; lo que ocurre en relación con la Directiva 2016/680 -EDL 2016/48901-.
  • Que la aplicación se refiera a disposiciones incondicionales y suficientemente claras y precisas, que contemplen derechos a los ciudadanos

Cabe recordar que el efecto directo vertical reconoce la posibilidad de que un particular invoque normas contenidas en una Directiva -EDL 2016/48901- no ejecutada en el Estado del que es nacional, porque su efecto útil se vería debilitado si se impidiera a los justiciables hacerlo valer en justicia y a las jurisdicciones nacionales tomarlo en consideración en cuanto elemento de Derecho comunitario. Como recuerda Pérez Van Kappel(5), «el Estado miembro que no haya adaptado dentro del plazo las medidas de ejecución que impone una directiva, no puede oponer a los particulares su propio incumplimiento de las obligaciones que la directiva implica».

II. Sistema de Protección de datos personales en el proceso penal

1. Derechos reconocidos a los titulares

Los derechos de los titulares de los datos personales en el ámbito del 18.4 Const –EDL 1978/3879- son regulados en la Directiva, así como en la normativa nacional que proceda a transponerla(6). Téngase en cuenta que la Directiva -EDL 2016/48901- reconoce los siguientes derechos al interesado:

  • Derecho de acceso (art.14 -EDL 2016/48901-): tiene derecho a obtener del responsable confirmación sobre si se están tratando sus datos; y en caso positivo, tiene derecho de acceso a dichos datos y a determinadas informaciones recogidas en el precepto. Este derecho puede ser limitado por el Estado miembro de conformidad con el art.15 -EDL 2016/48901-.
  • Derecho de rectificación o supresión de datos personales y limitación de su tratamiento (art.16 -EDL 2016/48901-), que puede ser limitado por el Estado miembro de conformidad con el art.16.4
  • Para facilitar el ejercicio de estos derechos, los art.12 y 13 -EDL 2016/48901- establecen una serie de obligaciones de información del responsable del tratamiento
  • Derechos en relación con decisiones individuales no únicamente automatizadas (art.11 -EDL 2016/48901-), cuestión que se examina posteriormente.

El interesado es titular de estos derechos en relación con los datos obrantes en los ficheros jurisdiccionales de procesos penales, y la regulación de los mismos contenida en la Directiva -EDL 2016/48901- será directamente aplicable en España en aquellos casos en los que concurran los presupuestos para el efecto directo, que han sido analizados anteriormente.

En ocasiones la Directiva establece, en la concreta regulación de cada uno de esos derechos, la posibilidad de que el Estado adopte medidas legislativas que restrinjan total y/o parcialmente el específico derecho de que se trate, siempre que concurran determinadas condiciones; por ejemplo, su art.15 -EDL 2016/48901- dispone que los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, el derecho de acceso del interesado con arreglo a determinados requisitos que expone. En estos casos, y hasta que se proceda a la transposición, resultará aplicable la normativa interna española vigente, la cual ha de ser en todo caso interpretada de conformidad con el contenido de la Directiva (principio de interpretación conforme a la Directiva) en los términos expuestos con anterioridad.

2. Procedimientos para ejercitar los derechos

El ejercicio de estos derechos se realizará de conformidad con el Derecho interno de cada Estado (art.18 de la Directiva -EDL 2016/48901-); y la propia Directiva reconoce (Considerandos 49 y 107) que la regulación de estos procedimientos se contendrá en el Derecho procesal del Estado miembro. El Considerando (49) afirma que «cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional»; y el (107) que «la presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un proceso penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional».

El Derecho español vigente reconoce que, cuando se trata de datos obrantes en el proceso penal, los derechos se ejercitarán de acuerdo con los normas procesales en cada una de las jurisdicciones (art.18 Directiva -EDL 2016/48901- y art. 236 octies.1 LOPJ -EDL 1985/8754-) con las especificidades que contenga la LOPJ; sin perjuicio de lo que pueda disponerse en la transposición de la Directiva(7).

Téngase en cuenta que la LOPJ -EDL 1985/8754- contiene varias disposiciones que son relevantes en relación con los datos personales incorporados en los procesos judiciales:

  • Supresión de datos en documentos procesales. El art.236 quinquies.1 LOPJ -EDL 1985/8754- contempla que los Jueces y Tribunales, así como los Letrados de la Administración de Justicia, cada uno de acuerdo con sus respectivas competencias procesales, pueden adoptar las medidas que sean necesarias para la supresión de los datos personales de los documentos (incluidos las sentencias y demás resoluciones judiciales) a los que puedan acceder las partes durante la tramitación del proceso; con una limitación, esto es, que no sean necesarios para garantizar su derecho a la tutela judicial efectiva.
  • Normas sobre acceso al proceso de quienes no son parte. La LOPJ -EDL 1985/8754- contiene diferentes normas en relación con actuaciones judiciales públicas, es decir, juicios, comparecencias y vistas (art.232)(8); sobre estado, examen y conocimiento de actuaciones judiciales, así como obtención de copias y testimonios (art.234); y sobre el acceso a libros, archivos y registros judiciales (art.235).
    • Todo ello sin perjuicio de las normas reguladoras del acceso a la información judicial por parte de los medios de comunicación, destacando al efecto el «Protocolo de Comunicación de la Justicia», presentado por el Presidente del CGPJ al Pleno de la institución el día 27 de septiembre de 2018. Cabe destacar que este Protocolo establece que, en todos los envíos a los medios de comunicación por las Oficinas de Comunicación se incluirá de forma obligatoria una advertencia sobre la responsabilidad del medio de comunicación en la difusión de datos personales contenidos en el texto de la resolución judicial, de acuerdo al criterio establecido por los órganos técnicos afectados y el delegado de Protección de Datos del CGPJ; esta advertencia dirá textualmente: «Esta comunicación no puede ser considerada como la publicación oficial de un documento público. La comunicación de los datos de carácter personal contenidos en la resolución judicial adjunta, no previamente disociados, se realiza en cumplimiento de la función institucional que el artículo 54.3 del Reglamento 1/2000 de 26 de julio, de los órganos de gobierno de los tribunales –EDL 2000/85260-, atribuye a esta Oficina de Comunicación, a los exclusivos efectos de su eventual tratamiento con fines periodísticos en los términos previstos por el artículo 85 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales -EDL 2016/48900-. En todo caso será de aplicación lo dispuesto en la normativa de protección de datos de carácter personal al tratamiento que los destinatarios de esta información lleven a cabo de los datos personales que contenga la resolución judicial adjunta, que no podrán ser cedidos ni comunicados con fines contrarios a las leyes».
  • Acceso a los datos de sentencias y otras resoluciones procesales: el art.235 bis LOPJ -EDL 1985/8754- establece que, sin perjuicio de las restricciones que pudieran establecerse en las leyes procesales, el acceso al texto de las sentencias, o a determinados extremos de las mismas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo:
    • Previa disociación de los datos de carácter personal que los mismos contuvieran
    • Con pleno respeto al derecho a la intimidad y a los derechos de las personas que requieran un especial deber de tutela
    • Y con la garantía del anonimato de las víctimas o perjudicados, cuando proceda.

3. Autoridad de control

3.1. Supervisión independiente en relación con ficheros jurisdiccionales

La normativa de protección de datos otorga gran relevancia al papel de la Autoridad de control, a quien atribuye la misión de «supervisar la aplicación de la presente Directiva, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión» (art.41.1 Directiva -EDL 2016/48901-), concretando sus funciones en el art.46 Directiva.

La propia Directiva -EDL 2016/48901- contempla que el cumplimiento de sus normas por los órganos jurisdiccionales y otras autoridades judiciales independientes (por ejemplo la Fiscalía) ha de estar sujeto a una supervisión independiente de conformidad con el art.8, aptdo 3, de la Carta (último inciso del Considerando 80).

Sin embargo, la misma Directiva también entiende que la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los órganos jurisdiccionales actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones (Considerando 80). Por ello, el primer inciso del art.45.2 de la Directiva -EDL 2016/48901- dispone que «los Estados miembros dispondrán que cada autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función judicial»(9). De esta forma, la actuación de la Agencia Española de Protección de Datos y de las agencias de las CCAA no puede en ningún caso extenderse a los ficheros jurisdiccionales.

En la normativa española vigente, las competencias que la normativa de protección de datos (RGPD -EDL 2016/48900- y LOPDGDD -EDL 2018/128249-) atribuye a la Agencia Española de Protección de Datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial (art.236.1 nonies LOPJ -EDL 1985/8754-).

3.2. Autoridad de control en relación con ficheros de Fiscalía

Por otra parte, el segundo inciso del mismo art.45.2 de la Directiva -EDL 2016/48901- establece que «los Estados miembros podrán disponer que su autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por otras autoridades judiciales independientes en el ejercicio de su función judicial», como por ejemplo la Fiscalía (Considerando 80) o incluso el Tribunal Constitucional(10). De esta manera, el ordenamiento interno del Estado podrá disponer que, en estos casos, las operaciones de tratamiento queden sometidas a la autoridad de control (en nuestro país la Agencia Española de Protección de Datos); o bien puede adoptar otra solución(11).

III. Principios aplicables al tratamiento de datos en el ámbito penal

Como principio general, las actividades de obtención y tratamiento del dato pueden realizarse siempre que(12): a) estén previstas en la legislación; b) constituyan una medida necesaria y proporcionada en una sociedad democrática; y c) con el debido respeto a los intereses legítimos de la persona física afectada.

La Directiva -EDL 2016/48901- recoge una serie de principios aplicables al tratamiento de datos personales (art.4), que determinan obligaciones de los responsables y encargados de dicho tratamiento, y que han de ser recogidos por los Estados miembros en su respectivo ordenamiento interno

1. Principio de licitud y lealtad

Los datos han de ser tratados de manera lícita y leal (art.4.1 -EDL 2016/48901-). Analicemos por separado cada uno de estos elementos.

Los Estados miembros dispondrán que el tratamiento solo sea lícito (licitud) en la medida en que sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines establecidos en el art.1, aptdo. 1 -EDL 2016/48901-, esto es, la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública; y siempre que esté basado en el Derecho de la Unión o del Estado miembro (art.8.1 de la Directiva). En este último caso, el ordenamiento interno del Estado deberá indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento (art.8.2 de la Directiva).

El tratamiento conforme al principio de lealtad (transparencia) supone que el interesado debe estar en condiciones de conocer la existencia del tratamiento(13); y, cuando los datos se obtengan de ellos mismos, contar con una información precisa y completa respecto a las circunstancias de dicha obtención, el fin para el que se recaban, cuál va a ser el tratamiento a que van a ser sometidos, qué se va a hacer con el resultado de ese tratamiento en el que ha podido haber una retroalimentación para tratar y/o generar nuevos datos y si se van a ceder o comunicar a terceros (considerando 38 de la Directiva 1995)(14). Como afirma el considerando 60 del RGPD -EDL 2016/48900-, «los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran (...)».

La Directiva 2016/80 -EDL 2016/48901- establece una serie de obligaciones de información exigibles al responsable del tratamiento (art.13), pero también contiene la posibilidad de que las mismas no resulten de aplicación mediante medidas legislativas de los Estados miembros para una de las siguientes finalidades: evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales; evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; proteger la seguridad pública; proteger la seguridad nacional; o proteger los derechos y libertades de otras personas (art.13.3). Quedamos a la espera de cómo la normativa de transposición regulará esta cuestión.

2. Principio de limitación de la finalidad

Los datos personales han de ser recogidos con fines determinados, explícitos y legítimos; y no deben ser tratados de forma incompatible con dichos fines (art.4.1-b y 9 Directiva -EDL 2016/48901-). Afirma el Considerando 29 de la Directiva que «los datos personales deben recogerse con fines determinados, explícitos y legítimos dentro del ámbito de aplicación de la presente Directiva y no deben ser tratados para fines incompatibles con los fines de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Si el mismo u otro responsable del tratamiento trata datos personales con alguno de los fines previstos en el ámbito de aplicación de la presente Directiva distinto del fin para el que los datos fueron recopilados, dicho tratamiento debe permitirse con la condición de que el mismo esté autorizado con arreglo a la legislación aplicable y sea necesario y proporcionado para dicho otro fin».

3. Principio de minimización

Los datos han de ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados (letra c del artículo 4 -EDL 2016/48901-)

4. Principio de exactitud

Los datos han de ser exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados. El Considerando 30 de la Directiva -EDL 2016/48901- explica que «el principio de exactitud de los datos debe aplicarse teniendo presente el carácter y finalidad del tratamiento correspondiente. En particular en los procedimientos judiciales, las declaraciones que contienen datos personales se basan en la percepción subjetiva de las personas físicas y no siempre son verificables. En consecuencia, el requisito de exactitud no debe relacionarse con la exactitud de una afirmación, sino exclusivamente con el hecho de que se ha formulado una afirmación concreta».

La Directiva -EDL 2016/48901- contempla que los Estados miembros han de disponer que los datos personales basados en hechos se distingan, en la medida de lo posible, de los datos personales basados en apreciaciones personales (art.7).

5. Principio de limitación del plazo de conservación

Los datos personales han de ser conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados (letra f del art.4 -EDL 2016/48901-). De esta forma, el art.5 -EDL 2016/48901 establece que «los Estados miembros dispondrán que se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de los datos personales. Las normas de procedimiento garantizarán el cumplimiento de dichos plazos».

6. Principio de integridad y confidencialidad

Los datos han de ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas (letra f del art.4 -EDL 2016/48901-). Téngase en cuenta que el art.3.11 de la Directiva define violación de la seguridad de los datos personales «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma».

Según el Considerando (28), «con el fin de mantener la seguridad del tratamiento y evitar que con él se infrinja lo dispuesto en la presente Directiva -EDL 2016/48901-, los datos personales deben ser tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos o el uso no autorizado de los mismos y del equipo utilizado en el tratamiento, teniendo en cuenta el desarrollo técnico existente y la tecnología, los costes de ejecución con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse». En este sentido, la normativa europea introduce un modelo que puede denominarse de «gestión de riesgos»(15) , en el que cada entidad ha de establecer aquellas medidas técnicas y organizativas que sean proporcionales a los concretos riesgos inherentes al tratamiento.

7. Principio de responsabilidad

El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, debe (art.19 Directiva -EDL 2016/48901-): a) aplicar las medidas técnicas y organizativas apropiadas para garantizar; y b) estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con la presente Directiva.

8. Principio de protección de datos por defecto y desde el diseño

El responsable del tratamiento, teniendo en cuenta el estado de la técnica y el coste de la aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, debe aplicar, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento, de tal manera que este cumpla los requisitos de la presente Directiva y se protejan los derechos de los interesados (art.20.1 de la Directiva -EDL 2016/48901-).

Asimismo, y de conformidad con el art.20.2 Directiva -EDL 2016/48901-, el responsable del tratamiento ha de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. En concreto, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles, sin intervención de la persona, a un número indeterminado de personas físicas.

El contenido de este principio se encuentra bien explicado en el Considerando (78), según el cual «a fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos».

IV. Datos especialmente sensibles

1. Categorías especiales de datos

La Directiva contiene disposiciones específicas referidas a los datos especialmente sensibles («categorías especiales de datos personales«). De esta manera, el art.10 -EDL 2016/48901- dispone que «el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y únicamente cuando: a) lo autorice el Derecho de la Unión o del Estado miembro; b) sea necesario para proteger los intereses vitales del interesado o de otra persona física, o c) dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos».

Explica el Considerando 37 de la Directiva -EDL 2016/48901- que «especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. Dichos datos personales deben incluir aquellos que pongan de manifiesto el origen racial o étnico, entendiéndose que el término «origen racial» empleado en la presente Directiva no implica la aceptación por parte de la Unión Europea de teorías que traten de determinar la existencia de razas humanas diferentes. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté supeditado a las garantías adecuadas de protección de los derechos y libertades del interesado que se establecen en la legislación y esté permitido en los casos autorizados por la ley; o, si no está ya autorizado por dicha legislación, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona, o que el tratamiento se refiera a datos que el interesado ya ha hecho públicos de forma manifiesta. Entre las garantías adecuadas de protección de los derechos y libertades del interesado pueden figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente en relación con otros datos de la persona física afectada, la posibilidad de proteger adecuadamente los datos recopilados, el establecimiento de normas más estrictas para el acceso a los datos por parte del personal de la autoridad competente, o la prohibición de transmisión de dichos datos. El tratamiento de este tipo de datos también debe estar jurídicamente permitido si el interesado ha acordado de forma explícita que el tratamiento de los datos resulte especialmente intrusivo para las personas. Sin embargo, el consentimiento del interesado no debe constituir en sí mismo un fundamento jurídico para que las autoridades competentes procedan al tratamiento de datos personales sensibles como los mencionados».

En definitiva, la Directiva -EDL 2016/48901- admite el tratamiento de esta categoría de datos, pero lo considera excepcional, lo que lleva consigo tres tipos de consecuencias:

  • En primer lugar, el tratamiento solamente es posible en los supuestos tasados del art.10 Directiva -EDL 2016/48901-
  • En segundo lugar, cuando dicho tratamiento sea estrictamente necesario
  • En tercer lugar, se deberán adoptar específicas medidas técnicas y organizativas, con fundamento en los mayores riesgos que penden sobre este tipo de datos (argumento ex art.19.1 Directiva -EDL 2016/48901-).

2. Tratamiento de datos sobre condenas e infracciones penales

Dentro de la categoría de datos especiales, que necesitan una especial protección, la normativa de protección de datos personales contiene disposiciones relativas a sobre condenas e infracciones penales, así́ como a procedimientos y medidas cautelares y de seguridad conexas

En primer lugar, nos referimos al tratamiento que se realiza con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. En estos casos, el tratamiento es posible, pero plenamente sometido al régimen de la Directiva en los términos de la normativa aplicable que se ha expuesto anteriormente.

En segundo lugar, cuando el tratamiento se realiza con otros fines:, el principio general consiste en que el mismo no es posible. Aunque la propia normativa reconoce excepciones: será posible cuando se encuentre amparado en una norma de Derecho de la Unión, en la LOPDGDD -EDL 2018/128249- o en otras normas de rango legal (principio de reserva de Ley); por otra parte, el art.10.3 LOPDGDD contiene un supuesto en el que permite el tratamiento de estos datos: «cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones».

En tercer lugar, el registro completo de estos datos solamente se permite bajo el control de las autoridades públicas (art.10 RGPD -EDL 2016/48900-). En España podrá́ realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia (art.20.2 LOPDGDD -EDL 2018/128249-)

Para complementar este especial régimen de protección, el art.72.1 f) LOPDGDD -EDL 2018/128249- considera como infracción muy grave «el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 -EDL 2016/48900- y en el artículo 10 de esta ley orgánica».

V. Delegado de protección de datos

Como novedad de la Directiva, cabe destacar que en sus art.32 a 34 -EDL 2016/48901- contempla que los Estados miembros dispongan que el responsable del tratamiento designe un delegado de protección de datos; aunque podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales.

Atendiendo a la posición y funciones que la Directiva le atribuye, parece que no se está pensando en una persona ajena a la organización del responsable del tratamiento, sino más bien en alguien perteneciente a su propia organización, que pueda dedicarse a tiempo completo o a tiempo parcial en estas funciones. Pero esta decisión deberá adoptarse en la transposición y su normativa de desarrollo.

NOTAS:

1.- La Disp Trans 4ª LOPDGDD -EDL 2018/128249-, dispone que «los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales -EDL 2016/48901-, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo –EDL 2008/233305-, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre –EDL 1999/63731-, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva».

2.- Como razona Mangas Martín, «ante la falta de transposición, o en caso de transposición incorrecta por los poderes públicos competentes, se traslada a los jueces, también órganos del Estado, la obligación de tomar las medidas necesarias para alcanzar en el litigio concreto el resultado querido por la directiva, ya tengan efecto directo sus disposiciones o no lo tengan» «Las relaciones entre el Derecho Comunitario y el Derecho interno de los Estados miembros a la luz de la Jurisprudencia del Tribunal de Justicia», dentro de la obra colectiva El Derecho Comunitario Europeo y su aplicación judicial, editado por el CGPJ, la Universidad de Granada y la editorial Civitas, Madrid, 1993, pág. 81.

3.- Véase el análisis de esta cuestión en María del Pilar Bello Martín-Crespo, «Las Directivas como criterio de interpretación del Derecho nacional (especial consideración de la Jurisprudencia del TS en la aplicación del Derecho Mercantil)», Editorial Civitas, Madrid, 1999, págs. 123 y ss.

4.- La STCo 30-1-16 se refiere al efecto directo del art.7 de la Directiva 2012/13/UE, de 22 mayo 2012 –EDL 2012/94603-, desde la fecha en que expiró el plazo para su transposición (2 de junio de 2014), hasta la de la entrada en vigor de la LO 5/2015, de 27 abril –EDL 2015/52202-, que llevó a cabo este último cometido. Afirma expresamente la STCo que «no cabe rechazar tampoco la posibilidad de que una Directiva comunitaria que no haya sido transpuesta dentro de plazo por el legislador español, o que lo haya sido de manera insuficiente o defectuosa, pueda ser vinculante en cuanto contenga disposiciones incondicionales y suficientemente precisas en las que se prevean derechos para los ciudadanos, incluyendo aquellos de naturaleza procesal que permitan integrar por vía interpretativa el contenido esencial de los derechos fundamentales, al haberse incorporado por vía de la jurisprudencia del Tribunal de Justicia de la Unión Europea, al acervo comunitario».

5.- Antonio Pérez Van Kappel, que cita la Sentencia de 5-4-79 (Ratti) –EDJ 1979/7842-, «El efecto directo del Derecho de la Unión Europea», Cuadernos Digitales de Formación, Espacio judicial europeo social. III Edición (2013-2014), Consejo General del Poder Judicial

6.- Miguel Marcos Ayjón afirma que «en términos generales, nuestra normativa procesal y orgánica cumple con el contenido de la Directiva, pero no contempla aspectos sustanciales de la misma, entre los que cabe destacar: la creación y regulación de la figura del «Delegado de protección de datos» (art. 32 s -EDL 2016/48901- necesaria para el ejercicio múltiples cometidos), la regulación del derecho de información al interesado (art.13), el derecho de acceso a los que no son parte en el procedimiento pero cuyos datos constan en el mismo como testigos y peritos (art.14), el ejercicio de los derechos de rectificación o supresión de los datos personales y limitación (art.16), así como la determinación de la autoridad de control para los ficheros de la Fiscalía (art.41, de máxima importancia en el supuesto de instrucción de todas las causas penales)» (...); en «Las múltiples implicaciones de la protección de datos en la justicia penal», La Ley Penal, Nº 132, Mayo-Junio 2018, Editorial Wolters Kluwer.

7.-Téngase en cuenta que el art.18 de la Directiva -EDL 2016/48901-, al regular los derechos del interesado en las investigaciones y los procesos penales, establece que «los Estados miembros podrán disponer que el ejercicio de los derechos a los que se hace referencia en los artículos 13, 14 y 16 se lleve a cabo de conformidad con el Derecho del Estado miembro cuando los datos personales figuren en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales». En esta línea, su considerando (49) afirma que «cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional»; y su considerando (107) añade que «la presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un proceso penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional.»

8.- Para profundizar en estas cuestiones, véase Corazón Mira Ros, «Algunas reflexiones sobre la protección de datos personales en el ámbito judicial», dentro de «Los retos del Poder Judicial ante la sociedad globalizada: Actas del IV Congreso Gallego de Derecho Procesal», Universidad da Coruña, 2012.

9.- Ignacio Colomer Hernández afirma que «por disposición expresa del legislador comunitario, en todo caso, en ningún Estado miembro de la Unión, y por supuesto tampoco en España, la autoridad de control podrá entrar a controlar el uso y tratamiento de los datos personales que realicen los tribunales en el ejercicio de su función jurisdiccional»; en «A Propósito de la compleja trasposición de la Directiva 2016/680 relativa al tratamiento de datos personales para fines penales», Diario La Ley, Nº 9179, Sección Doctrina, 17 de Abril de 2018.

10.- Ignacio Colomer Hernández, «A Propósito de la compleja trasposición de la Directiva (...)», trabajo citado

11.- Ignacio Colomer Hernández considera que «habrá que esperar a la decisión que adopte en la trasposición el legislador español, para ver si los tratamientos de datos efectuados por autoridades judiciales independientes en el ejercicio de la función judicial (esencialmente los realizados por el ministerio fiscal) quedan dentro de la competencia de la autoridad de control (...)»; en «Control del Tratamiento de datos Personales Penales y Tutela Judicial Efectiva en la Directiva 2016/680 -EDL 2016/48901-», La Ley Penal, Editorial Wolters Kluwer.

12.- Considerando 26 de la Directiva -EDL 2016/48901-.

13.- Faustino Gudín Rodríguez-Magariños recuerda que «el tratamiento leal implica la trasparencia de los tratamientos y de los motivos lícitos para la recogida y uso de los datos, especialmente respecto a los interesados»; en «Nuevo Reglamento Europeo de Protección de Datos Versus Big Data», Editorial Tirant lo Blanch, 2018, página 80

14.- Véase Miguel Ángel Davara Rodríguez, «Una primera aproximación al Reglamento europeo de protección de Datos y su incidencia en el tratamiento de datos de carácter personal en las Administraciones Públicas», Actualidad Administrativa, No 4, Sección Administración del siglo XXI, Abril 2018

15.- Javier Alonso Lecuit, «La entrada en vigor del Reglamento General para la Protección de Datos desde la perspectiva de ciberseguridad», disponible en web:

http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari23-2018-alonsolecuit-reglamento-general-proteccion-datos

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 15 de febrero de 2019.