La nueva regulación de la protección de datos personales en las causas penales
La nueva Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales.
Aprobada el pasado 26 de mayo de 2021, viene a trasponer a nuestro ordenamiento la Directiva (UE) 2016/680, de 27 de abril de 2016, que se aprobó como respuesta a las crecientes amenazas para la seguridad nacional e internacional, caracterizadas por un componente trasfronterizo.
Tras los atentados terroristas que han sacudido a Europa y el mundo entero en los últimos años, la cooperación internacional y comunicación de información y datos de carácter personal entre los servicios policiales y judiciales de los diferentes países se ha convertido en un objetivo FUNDAMENTAL.
Finalidad y objeto de la Ley
La finalidad de la norma es la de regular el intercambio de información para facilitar la cooperación policial y judicial penal, garantizando un elevado nivel de protección de los derechos de la ciudadanía en la observancia de los principios democráticos y la seguridad jurídica de las personas. La regulación persigue, por tanto, una mayor eficacia en el desempeño de las funciones por parte de las Fuerzas y Cuerpos de Seguridad y del sistema judicial penal y penitenciario en general.
Tal y como se declara, el objeto de la nueva Ley Orgánica es la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales llevada a cabo por las autoridades competentes.
Autoridades competentes y principios de protección de datos
En el Capítulo I, relativo a las disposiciones generales, se establece que las autoridades competentes, a efectos de esta Ley Orgánica, serán las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
Otro aspecto fundamental de la Ley se recoge en el Capítulo II, donde se fijan los principios de protección de datos cuya garantía corresponde al responsable de tratamiento. Estos principios son muy parecidos, por no decir idénticos, a los recogidos por el Reglamento General de Protección de Datos (RGPD)[2], salvo alguna especialidad propia del ámbito de esta Ley. En particular, LO 7/2021 incluye un deber de colaboración del responsable con las autoridades competentes, en virtud del cual -salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica -, deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores.
Otra particularidad, con respecto a la regulación del RGPD, se refiere a los plazos de conservación y de revisión de los datos. Resulta fundamental establecer un plazo máximo de conservación, que con carácter general será de 20 años, e implantar un sistema que permita al responsable revisar, limitar o suprimir el conjunto de datos personales contenidos en cada una de sus actividades de tratamiento, como máximo cada tres años.
Además, la presente Ley aclara que los datos biométricos (como las huellas dactilares o la imagen facial) se considerarán una categoría especial de datos, solo si su tratamiento está dirigido a identificar de manera unívoca a una persona física.
Derechos de las personas
En el siguiente Capítulo se aborda la regulación de los derechos de los afectados y las condiciones generales de su ejercicio. Como en el RGPD y la LOPDGDD[3], se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento y se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento. Es importante destacar la peculiaridad relativa a la posible restricción de tales derechos (y, por ejemplo, denegar el derecho de acceso) en causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad nacional.
Transferencias internacionales de datos
En el Capítulo V, la Ley regula las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado tercero o a una organización internacional y se establecen las condiciones que deberán cumplirse para que estas sean lícitas. En particular, es preciso señalar que la autoridad competente del Estado miembro en el que se obtuvo el dato objeto de la trasmisión debe autorizar previamente esta transferencia.
Autoridades de protección de datos y procedimientos de reclamación
En relación con las autoridades de protección de datos, la Ley establece que dichas autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos, en sus respectivos ámbitos competenciales, atribuyéndoles potestades de investigación, control y asesoramiento.
