Ver especial completo sobre la protección de datos
Este comentario es la continuación del comentario «La protección de datos personales en el proceso penal: Directiva 2016/680» publicado en la Revista de Jurisprudencia núm 2 de febrero de 2019 (EDC 2019/509621)
I. Los datos personales como prueba en el proceso penal
1. Conceptos básicos de protección de datos aplicados a la prueba
Con carácter previo, resulta necesario analizar la aplicación de determinados conceptos básicos de la protección de datos a la actividad probatoria en el proceso judicial.
1.1.- Tratamiento de datos
El primer concepto que debemos afrontar es el de tratamiento, que el art.4.2 Reglamento 2016/679 UE sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) -EDL 2016/48900- define como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».
Teniendo en cuenta la amplitud de concepto que se deduce del precepto transcrito, en materia de prueba en el proceso judicial podemos enumerar, sin carácter exhaustivo, varias formas de tratamiento:
- En primer lugar, nos referimos la obtención y aportación de un dato personal al proceso por una de las partes, o por un agente o autoridad pública (Juez, Fiscal o Policía) en el ámbito penal: tanto la recogida (obtención del dato) como su aportación al proceso (comunicación) suponen operaciones de tratamiento.
- En segundo lugar, cuando el juez admite como prueba la aportación de dato/os personales de conformidad con las normas procesales, con su correspondiente incorporación al proceso (ficheros jurisdiccionales ex art.236 ter.1 LOPJ -EDL 1985/8754-), también nos encontramos una forma de tratamiento.
- En tercer lugar, también constituyen formas de tratamiento las decisiones sobre el acceso de tercero (que no tiene la condición de parte) a datos obrantes en un proceso judicial sobre los que manifiesta tener interés. En este ámbito tiene un destacado papel el Letrado de la Administración de Justicia
- La LOPJ contiene diferentes normas en relación con actuaciones judiciales públicas, es decir, juicios, comparecencias y vistas (art.232 -EDL 1985/8754-); sobre estado, examen y conocimiento de actuaciones judiciales, así como obtención de copias y testimonios (art.234); y sobre el acceso a libros, archivos y registros judiciales (art.235).
- Todo ello sin perjuicio de las normas reguladoras del acceso a la información judicial por parte de los medios de comunicación, destacando al efecto el «Protocolo de Comunicación de la Justicia», presentado por el Presidente del CGPJ al Pleno de la institución el día 27 de septiembre de 2018.
- Por último, las decisiones relativas a las condiciones de conservación y a la eliminación de datos en el proceso constituyen modalidades de tratamiento.
1.2.- Responsable del tratamiento
Se trata de un concepto funcional(1) que designa a la persona que tiene la capacidad para decidir que se realice un tratamiento de datos para sus propios fines: capacidad derivada de una norma jurídica que le atribuye, de forma expresa o de manera implícita, la competencia para decidir. El responsable del tratamiento decide «por qué» y «cómo» deberán tratarse los datos personales.
La decisión sobre la realización de un tratamiento con una finalidad (determinación de los fines del tratamiento) lleva consigo la asunción del papel de responsable del tratamiento. Sin embargo, concurre mayor dificultad en los casos de decisión sobre los medios para la realización del tratamiento.
Cabe entender que los «medios» no sólo se refieren a los medios técnicos de tratar los datos personales, sino también al «cómo» del tratamiento, que incluye preguntas como «¿qué datos deben tratarse?», «¿qué terceros deben tener acceso a estos datos?», «¿cuándo deben borrarse los datos?», etcétera; de esta manera, la determinación de los «medios» abarca preguntas técnicas y organizativas cuando la decisión puede delegarse en los encargados del tratamiento (como, por ejemplo, «¿qué hardware o software debe usarse?») y elementos esenciales que tradicionalmente y de forma inherente se reservaban para la determinación del responsable del tratamiento, como «¿qué datos deben tratarse?», «durante cuánto tiempo deben tratarse?», «¿quién debe tener acceso a ellos?», entre otras(2). De esta manera, la capacidad de decisión sobre los medios del tratamiento puede afectar a funciones tanto del responsable como del encargado del tratamiento; y habrá que considerar que se trata de responsable cuando su capacidad de decisión (control) afecta a los elementos esenciales de los medios.
En conclusión, se trata de una definición muy amplia ya que cualquier persona física o jurídica que decida sobre el tratamiento de los datos personales será considerada responsable del tratamiento. En el proceso judicial coexisten diferentes formas de tratamiento del dato, así como diversas personas con capacidad decisoria y responsabilidad sobre ellas: Policía, Abogado, Juez, Letrado de la Administración de Justicia, Fiscal (...), cada una en relación con su respectivo ámbito de decisión y/o competencia. De esta manera, estas personas devienen responsables del tratamiento, o bien co-responsables de conformidad con los art.26.1 RGPD -EDL 2016/48900- y 29 LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) -EDL 2018/128249-
Surgen, por un lado, obligaciones para todos los agentes y autoridades públicas que intervienen en el proceso, relacionadas con su respectivo ámbito de competencias; y, por otra lado, también se abre un campo de responsabilidades del Abogado en relación con los datos aportados por su cliente, tanto propios como de las contrapartes, a las que ha de prestarse una especial atención porque pueden generar consecuencias ante la Agencia Española de Protección de Datos (procedimiento por infracción de la normativa de protección de datos), pero también en el propio proceso judicial (posible aplicación del art.11.1 LOPJ -EDL 1985/8754- en relación con la obtención del dato con infracción del art.18.4 Const -EDL 1978/3879-).
1.3.- Principios del tratamiento de datos
En cuanto responsables del tratamiento, les resulta de aplicación los principios del tratamiento de datos personales, sin perjuicio de las especialidades contenidas en la LOPJ -EDL 1985/8754- en relación con la actuación del Juez y del Letrado de la Administración de Justicia. Cabe destacar los siguientes principios que pueden adoptar una especial significación en materia probatoria:
- Minimización de datos, es decir, serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
- Limitación de la finalidad, esto es, los datos serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
- Integridad (seguridad) y confidencialidad, que se concreta en que los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Y téngase en cuenta que frecuentemente estaremos ante la categoría de datos especiales (art.9 y 10 RGPD -EDL 2016/48900-), por lo que en su tratamiento han de aplicarse específicas medidas técnicas y administrativas, con fundamento en los mayores riesgos que penden sobre este tipo de datos (art.28.2 LOPDGDD) y proporcionadas a dichos riesgos (art.24.1 RGPD).
2. Obtención del dato
2.1.- Aportación de datos por una parte procesal
Cuando el dato es aportado por la propia parte procesal, el acto de proposición como prueba tiene una base jurídica: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento (letra f del art.6 RGPD -EDL 2016/48900-), que en este caso se concretan en el ejercicio del derecho de defensa; aunque la parte deberá haber obtenido el dato personal de forma legítima. Por otro lado, cuando el Juez lo admite como prueba y ordena su incorporación al proceso por aplicación de la normativa procesal, la base legitimadora se encuentra en el ejercicio de poderes públicos conferidos al responsable del tratamiento (letra e del art.6 RGPD): la función jurisdiccional.
Sin embargo, en este ámbito resultan relevantes las circunstancias de obtención del dato. Si se trata de datos de los que es titular la propia parte que los aporta, no concurre vulneración alguna del derecho reconocido en el art.18.4 Const -EDL 1978/3879-. Los problemas surgen cuando se aportan datos personales de otra parte procesal, o de otra persona que no tiene el estatuto de parte en el procedimiento: en estos casos, será necesario el consentimiento del interesado; y, ante su ausencia, cabe analizar con detenimiento si la cesión del dato (comunicación como forma de tratamiento) se ha producido de forma lícita (base jurídica que lo legitima). En caso de falta de consentimiento o de otra base jurídica legitimadora, se puede plantear una posible nulidad de la prueba por aplicación del art.18.4 Const; aunque en estos casos no podemos desconocer la doctrina de la Sala Segunda del Tribunal Supremo sobre la licitud de la aportación de prueba por un particular.
Recordemos que la jurisprudencia viene considerando (SSTS 508/2017 –EDJ 2017/126942-, 287/2017 –EDJ 2017/45019-, 116/2017 –EDJ 2017/8639-, 54/2014 –EDJ 2014/12343- y 793/2013 –EDJ 2013/207522-) que la prueba obtenida por un particular con vulneración de un derecho fundamental no siempre es nula, sino que en cada caso cabe valorar de manera exhaustiva las concretas circunstancias concurrentes que puedan conducir a valorar su posible validez. No se aplica la exclusión de la prueba obtenida con vulneración de un derecho fundamental siempre que concurran los siguientes elementos: por un lado, que exista una absoluta desconexión entre la conducta del particular y la actividad del Estado; y, por otra parte, que la voluntad del particular sea en su origen ajena a la voluntad de preconstituir la prueba.
1.2.2.- Obtención o recogida por el poder público
En la mayor parte de los supuestos, la obtención por los órganos judiciales o por la Policía de un dato personal que resulta útil para la investigación del delito y la ulterior prueba en juicio se realiza sin consentimiento previo de su titular.
A.- Base jurídica que legitima la obtención (tratamiento).Consentimiento no necesario
En aquellos supuestos en que los datos se incorporan al proceso al amparo de un requerimiento realizado al responsable del tratamiento por el propio órgano judicial, de oficio o a instancia de parte, no es necesario el consentimiento del interesado (art.236 quáter LOPJ -EDL 1985/8754-), sino que la base jurídica que legitima la cesión es otra: para el responsable del fichero, se trata del cumplimiento de una obligación legal (letra d del art.6 RGPD -EDL 2016/48900-), esto es, la obligación de colaborar con los órganos judiciales (art.118 Const -EDL 1978/3879-); y para el órgano judicial, será el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (letra e del art.6 RGPD), es decir, para el ejercicio de la función jurisdiccional.
Cuando las Fuerzas y Cuerpos de Seguridad del Estado recaban datos personales para la investigación de un delito, la base jurídica también se encuentra en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (letra e del art.6 RGPD -EDL 2016/48900-), es decir, para la función estatal de investigar las circunstancias y autores de infracciones penales.
De esta manera, el considerando (35) de la Directiva afirma que «para que sea lícito, el tratamiento de datos personales en virtud de la presente Directiva debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública»; y añade que «en este caso, el consentimiento del interesado [según se define en el Reglamento (UE) 2016/679 -EDL 2016/48900-] no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes. Cuando se exige al interesado que cumpla una obligación jurídica, este no goza de verdadera libertad de elección, por lo que no puede considerarse que su respuesta constituya una manifestación libre de su voluntad (...).»
Con carácter general, existe una habilitación legal en la Ley de Enjuiciamiento Criminal (art.282 y 326,1º -EDL 1882/1-) y en la Ley Orgánica de Fuerzas y Cuerpos de Seguridad del Estado (letra d del art.11 –EDL 1986/9720-), en cuanto contemplan las obligaciones legales de recabar aquellos datos que resulten necesarios para la investigación y prueba de un delito. Por otra parte, el art.22.2 LOPD -EDL 1999/63731- establece que «la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad»; recordemos que, hasta la transposición de la Directiva, este precepto está vigente de conformidad con la Disp Trans 4ª de la LOPDGDD -EDL 2018/128249-.
Asimismo, y para los órganos judiciales (ficheros jurisdiccionales), hay que aludir al párrafo 1º del art.236 quáter LOPJ -EDL 1985/8754-, según el cual «no será necesario el consentimiento del interesado para que los Tribunales procedan al tratamiento de los datos en el ejercicio de la potestad jurisdiccional, ya sean éstos facilitados por las partes o recabados a solicitud del propio Tribunal, sin perjuicio de lo dispuesto en las normas procesales para la validez de la prueba».
B.- Necesidad para una investigación concreta
La obtención del concreto dato ha de ser necesaria para la investigación del específico delito, y no ha de tratarse de una recogida en abstracto; y ello por cuanto la afectación del derecho fundamental del art.18.4 Const -EDL 1978/3879- ha de ser la mínima imprescindible en un Estado de Derecho(3). El propio art.22.3 LOPD -EDL 1999/63731- dispone que «la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7 -EDL 1999/63731-, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta».
En este sentido, el considerando 36 de la Directiva 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos -EDL 2016/48901-, afirma que «los fines específicos a los que obedezca el tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de la recopilación de los datos personales. Los datos personales deben ser adecuados y pertinentes en relación con los fines para los que se tratan, lo cual requiere, en particular, que se garantice que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Los Estados miembros deben establecer las salvaguardias adecuadas en relación con los datos personales almacenados por períodos más largos para su archivo por cuestiones de interés público o para su uso científico, estadístico o histórico». Y, por otra parte, en el considerando 29 se expresa que «si el mismo u otro responsable del tratamiento trata datos personales con alguno de los fines previstos en el ámbito de aplicación de la presente Directiva distinto del fin para el que los datos fueron recopilados, dicho tratamiento debe permitirse con la condición de que el mismo esté autorizado con arreglo a la legislación aplicable y sea necesario y proporcionado para dicho otro fin».
1.2.3.- Cesión de datos personales en la investigación y prueba de los delitos
Los particulares y empresas tienen en su poder numerosos datos de carácter personal y obtenidos de forma lícita (para su propia finalidad) que pueden resultar útiles para la investigación y prueba de los delitos: bancarios, fiscales, sanitarios, comerciales, sobre comunicaciones electrónicas, biológicos (...). Las cesiones de estos datos suponen una restricción del derecho fundamental del art.18.4 Const -EDL 1978/3879-; aunque el grado de afectación del derecho puede resultar de diversa intensidad, pudiendo afectar a datos especialmente sensibles como los sanitarios o los que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
De esta manera, un dato personal que se ha sido obtenido para una determinada finalidad por un particular o por una entidad pública puede ser cedido o comunicado a la Policía o a los órganos judiciales penales para la investigación y/o enjuiciamiento de delitos; y sin necesidad de previo consentimiento del interesado: cesión de datos a Jueces y Tribunales (art.236 quáter LOPJ -EDL 1985/8754-) o a las Fuerzas y Cuerpos de Seguridad para la investigación de delitos (letra g del art.11.1 LO 2/1986, de 13 marzo, de Fuerzas y Cuerpos de Seguridad –EDL 1986/9720- y art.22.2 LOPD -EDL 1999/63731-)(4). Y la obligación de comunicar los datos personales requeridos para el proceso penal encuentra su fundamento en el deber de colaborar con los Jueces y Tribunales (art.118 Const -EDL 1978/3879- y 17 LOPJ -EDL 1985/8754-); así como en la obligación de denunciar (art.259 y 262 LECr –EDL 1882/1-) cuando a quien tenga los datos le conste una posible comisión de un delito.
La falta de una concreta regulación de la cesión de datos en esta materia, a la espera de la concreta transposición de la Directiva 2016/680, obliga a observar cautela en el presente ámbito aplicando los principios de la mencionada Directiva.
Sin embargo, cabe recordar que están regulados supuestos específicos de cesión de determinados tipos de datos entre los que destacamos: la L 25/2007, conservación datos de comunicaciones electrónicas –EDL 2007/159198- (previa autorización judicial); el art.16.3 L 41/2002, de 14 noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica –EDL 2002/44837- (historia clínica), según redacción dada por la Disp Final 9ª LOPDGDD -EDL 2018/128249- (5); y el art.7 LO 4/1997, sobre utilización de videocámaras por Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos –EDL 1997/24223- (6).
3. Datos conocidos por la condición de parte procesal
El art.236 quinquies.2 LOPJ -EDL 1985/8754- dispone que «en todo caso será de aplicación lo dispuesto en la legislación de protección de datos de carácter personal al tratamiento que las partes lleven a cabo de los datos que les hubieren sido revelados en el desarrollo del proceso». En definitiva, los datos conocidos por las partes en el proceso se encuentran plenamente sometidos al régimen jurídico del RGPD -EDL 2016/48900- y de la LOPDGDD -EDL 2018/128249-.
II. Categorías de interesados en el proceso
En el procedimiento penal concurre el interés legítimo de personas con estatutos procesales distintos: investigado, condenado, víctima, testigos, peritos(7) (...). Por ello, es conveniente destacar que la Directiva 2016/680 distingue entre diferentes categorías de interesados (art.6 -EDL 2016/48901-), obligando al responsable del tratamiento a que, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados, tales como:
- personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal;
- personas condenadas por una infracción penal;
- víctimas de una infracción penal o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas de una infracción penal, y
- terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones penales o procesos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).
III. Técnicas de análisis automatizado de datos y decisiones automatizadas. big data
La evolución de la ciencia y la tecnología pone a disposición de los poderes públicos técnicas avanzadas de análisis automatizado de los datos: crecimiento de la capacidad de memoria de los ordenadores, poderosos procesadores, el increíble abaratamiento de recopilar y almacenar toda esta cantidad de información, y el desarrollo de análisis matemáticos que provienen de la estadística tradicional(8). Existen mecanismos cada vez más potentes de análisis automatizado de los datos, cuya conservación puede además extenderse en el tiempo, pudiendo determinar también decisiones automatizadas.
La utilización de este tipo de metodologías puede servir para la obtención de elementos útiles para la investigación y, por tanto, también para la prueba de determinados hechos relevantes para el proceso; pero también genera mayores riesgos para los datos personales(9).
1. Big data
Nos encontramos con el llamado big data(10), que puede definirse como aquel conjunto de nuevas tecnologías que permiten analizar ágilmente, a través del uso extenso de algoritmos, cantidades masivas de datos provenientes de fuentes dispares con el objetivo de crear valor(11). Su rasgo esencial radica en que el análisis y tratamiento de enormes cantidades de datos permite comprender elementos que no se pueden abordar con el análisis de cantidades reducidas de información(12).
Se pueden señalar distintas fases: una primera consistente en la recopilación o recogida de datos, que cuenta con una multiplicidad de fuentes; una segunda destinada a buscar relaciones entre los datos, estableciendo categorías (minería de datos), que conlleva realizar un tratamiento de datos a través del uso intensivo de algoritmos para descubrir correlaciones, patrones de comportamiento y, en definitiva, conocimiento que se encontraba oculto en la complejidad de los datos y que no es patente a simple vista(13); y una tercera fase que tiene como finalidad la interpretación de los resultados para obtener conclusiones y suposiciones sobre el comportamiento (inferencia o valoración)(14).
2. Mecanismo de decisión individual automatizado y elaboración de perfiles
La normativa de la UE regula de forma restrictiva el llamado mecanismo de decisión individual automatizado, es decir, la toma decisiones con base únicamente en un tratamiento automatizado, incluida la elaboración de perfiles(15); como por ejemplo la denegación automática de una solicitud de crédito en línea, o los servicios de contratación en red en los que no medie intervención humana alguna: art.22 RGPD -EDL 2016/48900- y art.11 Directiva 2016/680 -EDL 2016/48901-.
Se trata de la evaluación automatizada de datos personales de una persona física, para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado (considerando 71 RGPD -EDL 2016/48900-). El art.3.4 de la Directiva -EDL 2016/48901- defina la elaboración de perfiles como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».
De esta manera, el art.11 de la Directiva -EDL 2016/48901- reconoce al interesado el derecho a no ser objeto de una decisión que evalúe sus aspectos personales basada únicamente en un tratamiento automatizado de datos, siempre que tenga efectos jurídicos negativos para el interesado o le afecten significativamente (Considerando 38). La regulación puede sistematizarse de la siguiente forma (art.11):
- Con carácter general:
- Queda prohibida siempre que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente. Cabe destacar que la prohibición se aplica no solamente en caso de consecuencias negativas, sino también para decisiones que afecten significativamente al interesado.
- Salvo que estén autorizadas por la Ley y se establezcan medidas adecuadas para salvaguardar los derechos y libertades del interesado; al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento, para que el interesado pueda formular alegaciones e impugnar la decisión.
- Datos especialmente sensibles: categorías especiales de datos personales del artículo 10 Directiva
- Las decisiones basadas en un tratamiento automatizado no se fundamentarán en las categorías especiales de datos personales, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado(16).
- En todo caso, queda prohibida la elaboración de perfiles que dé lugar a una discriminación de las personas físicas basándose en las categorías especiales de datos personales.
IV. Protección de datos en la Orden Europea de Investigación
El art.20 de la Directiva 2014/41 –EDL 2014/60572- (reguladora de la Orden Europea de Investigación) establece que, al aplicar la misma, los Estados miembros velarán por que los datos personales estén protegidos y solo puedan tratarse de acuerdo con la Decisión Marco 2008/977/JAI del Consejo –EDL 2008/233305- (en la actualidad esta remisión se entiende realizada a la Directiva 2016/680 -EDL 2016/48901-) y con arreglo a los principios del Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. Y añade que «el acceso a dichos datos estará limitado, sin perjuicio de los derechos del interesado Solo podrán acceder a dichos datos las personas autorizadas». Por otra parte, la Directiva 2016/680 regula las transferencias de datos personales a terceros países u organizaciones internacionales (art.35 s)(17).
El art.193 de la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea –EDL 2014/195252- (redacción dada por la L 3/2018 de 11 de junio –EDL 2018/92374-), regula la utilización en España de los datos personales obtenidos en la ejecución de la orden europea de investigación en otro Estado miembro:
- Los datos personales obtenidos de la ejecución de una orden europea de investigación sólo podrán ser empleados:
- en los procesos en los que se hubiera acordado esa resolución,
- en aquellos otros procesos relacionados de manera directa con aquél
- excepcionalmente para prevenir una amenaza inmediata y grave para la seguridad pública.
- Para utilizar con otros fines los datos personales obtenidos, la autoridad española competente deberá recabar el consentimiento de la autoridad del Estado de ejecución o del titular de los datos.
Por otra parte, cuando en un caso concreto así lo requiera la autoridad competente del Estado de ejecución, la autoridad española competente le informará del uso que haga de los datos personales que se hubieran remitido a través de una orden europea de investigación, con excepción de aquéllos obtenidos durante su ejecución en España.
NOTAS:
1.- Dictamen 1/2010, de 16 de febrero, Grupo de Trabajo del artículo 29 (GT29), sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», página 10
2.- Dictamen 1/2010 citado, página 15
3.- Véase Joaquín Bayo Delgado, «La protección de datos en la investigación policial y en el proceso penal», Jueces para la Democracia, núm. 63, noviembre 2008, página 22. Disponible en la web.
4.- La LOPD contiene una habilitación en su art.22.2 -EDL 1999/63731-. Julio Pérez Gil y Juan José González López entienden que tales preceptos proporcionan una cobertura de carácter excesivamente genérica a la habilitación de cesiones de datos inconsentidas, en «Cesión de datos personales para la investigación penal. Una propuesta para su inmediata inclusión en la Ley de Enjuiciamiento Criminal», Diario La Ley, n.º 7401, Sección Doctrina, 13 de mayo de 2010.
5.- El art.16.3, en sus tres primeros párrafos, dispone que «El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad –EDL 1986/10228-, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.
Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso».
6.- El art.22.6 LOPDGDD -EDL 2018/128249- dispone lo siguiente: «El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680 -EDL 2016/48901-, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 -EDL 2016/48900- y la presente ley orgánica».
7.- El Considerando (31) de la Directiva recuerda que «se deben diferenciar claramente los datos personales de distintas categorías de interesados, tales como los sospechosos, los condenados por una infracción penal, las víctimas o los terceros, entre los que se incluyen los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenado».
8.- Elena Gil González, «Big data y datos personales: ¿es el consentimiento la mejor manera de proteger nuestros datos?», Diario La Ley, Nº 9050, Sección Tribuna, 27 de Septiembre de 2017
9.- Joaquín Bayo Delgado se refiere al «data mining» afirmando que «el impacto que esta técnica, de alcance ilimitado según las actuales capacidades informáticas, tiene en la intimidad y protección de datos de las personas no sospechosas es enorme y preocupante», en «La cooperación internacional policial a la luz de la Propuesta revisada de Decisión Marco relativa a protección de datos»; dentro del libro La protección de datos en la cooperación policial y judicial, editado por Aranzadi y la Agencia Española de Protección de Datos, Madrid, 2008, página 22.
10.- Wolfgang Hofmann-Riem, «Big Data. Desafíos también para el Derecho», Cuadernos Civitas, Thomson Reuters, 2018.
11.- Definición de Elena Gil González, «Big data y datos personales (...)», trabajo citado
12.- Faustino Gudín Rodríguez-Magariños afirma que «el Big Data hace referencia a los macrodatos como un elevado número de datos producidos por un elevado número de fuentes que se mueven por la red. Los datos pueden ser creados por personas, por máquinas tales como sensores encargados de recoger información sobre el clima, las imágenes por satélite, las fotografías, los videos digitales, los registros de transacciones de compra, las señales de GPS, junto a ello cualquier aparato electrónico digitalizado emite constantemente datos que son susceptibles de lectura e interpretación generando el llamado internet e las cosas (IoT). BigData es universal y cubre todos los sectores donde interviene el hombre desde la salud a la energía desde las superficies submarinas hasta el espacio. La generación de valor en las diferentes etapas dela cadena de datos constituye el núcleo de la economía del conocimiento; en «Nuevo Reglamento Europeo de Protección de Datos Versus Big Data», Editorial Tirant lo Blanch, 2018.
14.- Elena Gil González, «Big data y datos personales: ¿es el consentimiento (...)», trabajo citado
15.- Francisco Javier Durán Ruiz estima que «siguiendo a Gil González podemos afirmar que lo que para algunos constituye la mayor amenaza para la privacidad es, irónicamente, lo que despierta mayor interés del big data: su capacidad de detectar correlaciones ocultas entre datos y así inferir conclusiones no evidentes a simple vista, ya que uno de los usos principales del big data es poder hacer un uso secundario de los datos que permita realizar inferencias para obtener nuevos conocimientos»; en «TIC y protección de datos personales en la Unión Europea. Especial referencia a los menores y el Reglamento General (UE) 2016/679 de protección de datos -EDL 2016/48900-»; dentro de «Desafíos de la protección de menores en la sociedad digital», Editorial Tirant lo Blanch, 2018, página 120.
16.- Francisco Javier Durán Ruiz recuerda que «la elaboración de perfiles permite por tanto establecer categorías de individuos basándose en determinadas características observables para así poder inferir otras que no son observables»; en «TIC y protección (...)», obra citada, página 118.
17.- El considerando 71 del RGPD -EDL 2016/48900- se refiere a «aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas».
18.- Sobre el régimen de la transferencia internacional de datos en la Directiva 95/46/CE –EDL 1995/16021- y en el RGPD -EDL 2016/48900-, véase Marta Grande Sanz, «La transferencia internacional de datos personales: presente y futuro», Diario La Ley, Nº 8808, Sección Tribuna, 21 de Julio de 2016, Ref. D-293, Diario La Ley, Sección Ciberderecho.
Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 15 de marzo de 2019.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación