¡Pide presupuesto en 2 min! ✓
AbogadosLOPDGDD & RGPD

Ley de Protección de Datos en investigaciones penales

10 Mins read

Este martes se aprobó en el Consejo de Ministros el proyecto de Ley de Protección de Datos en investigaciones penales. En ella se regula la forma en que se protegerán los datos personales que se usan en las actuaciones de prevención, investigación y enjuiciamiento de infracciones penales. También se recoge la prevención respecto a amenazas contra la seguridad pública. Vamos a analizar aquí esta nueva ley.

Alcance y ámbito de aplicación

El derecho a la protección de datos puede definirse como el poder de disposición que tenemos las personas sobre nuestros propios datos de carácter personal. Este derecho nos faculta para decidir
cuáles de nuestros datos proporcionamos a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, sin nuestro consentimiento, o con base en otra causa legitimadora, como puede ser, por ejemplo, un mandato legal o el ejercicio de poderes públicos.

El tratamiento de los datos de carácter personal, en materia de protección de datos de carácter general, en el ámbito de la Administración de Justicia está sujeto a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades
competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

Esta norma prevé normas que los Estados miembros de la UE deben seguir, para proteger los derechos y libertades fundamentales, esencialmente en cuanto a los derechos de protección de datos, teniendo en cuenta los nuevos retos que plantea la globalización. Igualmente, garantiza que el intercambio de datos de carácter personal no quede limitado por ser datos de tal naturaleza.

Esta Directiva europea necesita una trasposición por los Estados miembros y por eso surge esta ley de Protección de Datos en investigaciones penales. Debió de haberse traspuesto al ordenamiento interno antes del 6 de mayo de 2018, sin que se haya hecho por el legislador nacional hasta ahora. El Gobierno ha remitido el proyecto a las Cortes Generales, a las que solicita que su tramitación parlamentaria sea realizada por el procedimiento de urgencia.

No es de aplicación el contenido del RGPD a los tratamientos de datos de los Tribunales en el ejercicio de su función judicial.

Contenido

El Proyecto de Ley consta de 61 artículos divididos en ocho capítulos, dos disposiciones adicionales y once disposiciones finales, con los que se traspone la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. La norma está enmarcada dentro del “paquete de protección de datos” que ha impulsado la Comisión Europea y que tiene como objetivo la protección de las personas físicas respecto al tratamiento de datos personales y su libre circulación.

El proyecto de ley establece un especial régimen sancionador para aquellos que no cumplan sus preceptos. Se establecen infracciones de distinto grado para las que quedan fijadas sanciones de entre 6.000 y 240.000 euros.

La ley establece el doble objetivo de favorecer la ineludible cooperación internacional policial y judicial europea en este campo con la protección y defensa de los derechos de los ciudadanos, en especial del derecho a la intimidad reconocido en el artículo 18.4 de la Constitución.

Se han solicitado informes de los ministerios de Justicia, Hacienda, Asuntos Económicos y Transformación Digital, Política Territorial y Función Pública, Defensa, Inclusión, Seguridad Social y Migraciones, Asuntos Sociales y Agenda 2030 y Trabajo y Economía Social.

También han informado el proyecto el Consejo General del Poder Judicial, el Consejo Fiscal, la Agencia Española de Protección de Datos, la Agencia Vasca de Protección de Datos, la Autoridad Catalana de Protección de Datos, los departamentos de Seguridad Pública del Gobierno Vasco y de Interior de la Generalidad de Cataluña, las direcciones generales de la Policía y de la Guardia Civil, y la Secretaría General de Instituciones Penitenciarias.

Administración de justicia y Protección de datos

El tratamiento de datos llevado a cabo por los Tribunales y en el marco de la gestión de la Oficina judicial se someten a la normativa sobre protección de datos en vigor (es decir, Directiva 2016/680; y subsidiariamente RGPD y LOPDGDD), sin perjuicio de las especialidades que se dirán a continuación.

También será plenamente aplicable la normativa de protección de datos indicada al tratamiento que las partes lleven a cabo de los datos que les hubieran sido revelados en el desarrollo del proceso.

Tipos de ficheros y responsables

Los Tribunales podrán tratar datos de carácter personal, atendiendo a su naturaleza, con fines:

  • Jurisdiccionales: el tratamiento se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional. El responsable del tratamiento será el órgano jurisdiccional u Oficina judicial ante el que se tramiten los procesos cuyos datos se incorporen al fichero, y dentro de él decidirá quien tenga la competencia atribuida por la normativa vigente de acuerdo con la solicitud que se reciba del ciudadano.
  • No jurisdiccionales: Igualmente, será responsable de este tipo de ficheros la Oficina judicial correspondiente al órgano judicial con el que se relacionen los datos.

Consentimiento para el tratamiento

No se exige el consentimiento del interesado para que los Tribunales efectúen un tratamiento de los datos en el ejercicio de la potestad jurisdiccional, ya hayan sido facilitados por las partes o se hayan recabado a solicitud del propio Tribunal.

Cuando se trate de datos tratados con fines no jurisdiccionales se estará a los requisitos generales dispuestos en la normativa sobre protección de datos.

Supresión de datos y acceso a las resoluciones

Los Jueces y Tribunales, y los Letrados de la Administración de Justicia podrán adoptar las medidas que sean necesarias para la supresión de los datos personales de los documentos a los que puedan acceder las partes durante la tramitación del proceso siempre que no sean necesarios para garantizar su derecho a la tutela judicial efectiva.

Lo mismo será aplicable respecto al acceso por las partes a los datos personales contenidos en las sentencias y demás resoluciones dictadas en el seno del proceso.

Cesiones o comunicaciones de datos

Podrán cederse al Consejo General del Poder Judicial (CGPJ) y al Ministerio de Justicia, en lo que proceda, los datos tratados con fines jurisdiccionales que sean estrictamente necesarios para el ejercicio de las funciones de inspección y control.

Los datos tratados con fines no jurisdiccionales podrán cederse entre los órganos jurisdiccionales o por éstos al CGPJ o al Ministerio de Justicia cuando ello esté justificado por la interposición de un recurso o sea necesario para el ejercicio de las competencias que se les atribuye legalmente.

Derechos de los interesados

Las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento, en relación con los datos tratados con fines jurisdiccionales se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, no siendo de aplicación las disposiciones establecidas en la normativa de protección de datos.

En todo caso se denegará el acceso a los datos objeto de tratamiento con fines jurisdiccionales cuando las diligencias judiciales en que se haya recabado la información hayan sido declaradas secretas o reservadas.

Tratándose de datos sometidos a tratamiento con fines no jurisdiccionales, los interesados podrán ejercitar sus derechos en los términos establecidos en la normativa de protección de datos, dirigiendo su solicitud ante el funcionario competente para decidir según la normativa
vigente.

Competencia de la AEPD

El RGPD establece, en su artículo 55.3 que la AEPD no es competente para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.

Infracciones

Cuando con ocasión de la realización de actuaciones de investigación relacionadas con la posible comisión de una infracción de la normativa de protección de datos las autoridades competentes (ya sea la AEPD o el CGPJ) apreciasen la existencia de indicios que supongan la competencia de la otra autoridad, darán inmediatamente traslado a esta última a fin de que prosiga con la tramitación del procedimiento.

Principios aplicables al tratamiento de datos personales en el ámbito penal

Como principio general, todo tratamiento de datos personales en el ámbito penal debe ser lícito, leal y transparente en relación con las personas físicas afectadas, y únicamente podrá realizarse para los fines específicos que prevea la ley.

Los tratamientos de datos personales pueden realizarse con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas para la seguridad pública, siempre y cuando:

  • estén previstas en la legislación;
  • sean una medida necesaria y proporcionada,
  • con el debido respeto a los intereses legítimos de la persona física afectada.

El tratamiento de datos personales en el ámbito penal debe cumplir los siguientes principios:

Responsabilidad activa (accountability)

El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con la Directiva teniendo en cuenta:

  • la naturaleza,
  • el ámbito,
  • el contexto
  • los fines del tratamiento,
  • los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Protección de datos por defecto y desde el diseño

El responsable del tratamiento, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, debe aplicar medidas técnicas y organizativas apropiadas (como por ejemplo la seudonimización); otras concebidas para aplicar los principios de protección de datos (como por ejemplo la minimización de datos), de forma efectiva y para
integrar las garantías necesarias conforme establece la Directiva.

Así mismo, el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas con el fin de garantizar que, por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se extiende a:

  • la cantidad de datos personales recogidos,
  • la extensión de su tratamiento,
  • su período de conservación y
  • su accesibilidad.

Licitud y lealtad

En lo que se refiere al principio de licitud, el tratamiento solo será lícito en la medida en que:

  • sea necesario para la ejecución de una tarea realizada por una autoridad competente;
  • para los fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales;
  • esté basado en el Derecho de la UE o del Estado miembro.

Por otro lado, el tratamiento de datos conforme al principio de lealtad o transparencia supone que se informe al afectado de los “riesgos, reglas, salvaguardias y derechos aplicables en relación con el tratamiento de sus datos personales”, y concretamente los fines específicos que justifican el
tratamiento de los datos personales que en todo caso deben ser explícitos y legítimos, y deben determinarse en el momento de la recopilación de los datos.

Minimización de datos

Los datos han de ser adecuados, pertinentes y no excesivos, atendiendo a las finalidades para las que son recabados.

Limitación de la finalidad

Los datos personales deben ser recogidos exclusivamente para finalidades determinadas, explícitas y legítimas, no debiendo ser tratados de forma incompatible con dichos fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluyendo la protección frente a amenazas para la seguridad pública.

Exactitud

Este principio implica que los datos han de ser exactos, y si resultara necesario, actualizados, teniendo en cuenta, en cualquier caso, el carácter y finalidad del tratamiento correspondiente.

Limitación del plazo de conservación

Los datos deben ser conservados de forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que son tratados.

Seguridad y confidencialidad

Los datos tienen que ser tratados de forma que se garantice una seguridad adecuada, frente a intromisiones no autorizadas y contra su pérdida o destrucción, ya sea consciente o accidental. A tal fin se exige aplicar medidas técnicas y organizativas apropiadas. En todo caso habrá de
atenderse a los riesgos inherentes al tratamiento y a la tecnología disponible en cada momento.

Acceso de las partes procesales al expediente judicial

Las partes pueden tener acceso a las actuaciones procesales y han de tener acceso completo a los actos procesales y pueden pedir y obtener las copias y testimonios que precisen, sin necesidad de acreditar otro interés legítimo que el carácter de parte. Salvo que se haya acordado, eso si, la reserva para ello, por la declaración del secreto de las actuaciones o por la protección de un testigo.

Las actuaciones de carácter reservado únicamente se conocerán por las partes y por sus representantes y defensores, sin perjuicio de lo previsto para los hechos y datos con relevancia penal, tributaria o de otra índole.

Declaración del secreto de las actuaciones

Si el delito fuere público, podrá el Juez de instrucción, a propuesta del Ministerio Fiscal, de cualquiera de las partes personadas o de oficio, declararlo, mediante auto, total o parcialmente secreto para todas las partes personadas, por plazo máximo de un mes cuando sea necesario para:

  • impedir un riesgo grave para la vida, libertad o integridad física de otra persona; o
  • prevenir una situación que pueda comprometer de forma grave el resultado de la investigación o del proceso.

El Abogado o Procurador de cualquiera de las partes que revelare indebidamente el secreto del sumario, será corregido con multa de 500 a 10.000 euros. La misma multa se aplicará a cualquier otra persona que no siendo funcionario público cometa la misma falta.

Protección de testigos y peritos

Otro caso de denegación de acceso de las partes a datos del proceso lo encontramos en los supuestos en los que se acuerda, por resolución judicial motivada, la protección de un testigo, acordando que no consten en la causa los datos del mismo.

Publicación de datos por edictos

La publicación a través de edictos únicamente está justificada cuando existe imposibilidad de notificación personal o a través de un tercero.

Existe una especialidad respecto a los tratamientos de datos de menores que deben ser objeto de publicación a través de edictos. En atención al superior interés de los menores y para preservar su intimidad, deben omitirse los datos personales, nombres y apellidos, domicilio, o cualquier otro
dato o circunstancia que directa o indirectamente pudiera permitir su identificación.

No debe incluirse en los actos de comunicación:

  • ningún dato personal que no sea estrictamente necesario para alcanzar su fin.
  • datos de menores, al objeto de respetar su intimidad.
  • los datos personales en situaciones tendentes a preservar la intimidad de quien demanda por estar vulnerado su derecho a la intimidad, por su innecesaria identificación en un medio de comunicación como víctima de un delito contra la libertad sexual.

Datos contenidos en Sentencias y resoluciones judiciales

El acceso al texto de las sentencias, o a determinados extremos de estas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran y con pleno respeto al derecho a la intimidad, a los derechos de las personas que requieran un especial deber de tutela o a la garantía del anonimato de las víctimas o perjudicados, cuando proceda.

Las sentencias, una vez dictadas y firmadas por el juez o por todos los Magistrados, se depositarán en la Oficina judicial y se permitirá a cualquier interesado el acceso al texto de las mismas. Se establecen determinadas restricciones en el supuesto de que existiera riesgo para el derecho a la intimidad o los derechos de las personas por su consideración de víctimas o perjudicados.

Related posts
LOPDGDD & RGPDNuevas tecnologias

Internet de las Cosas y Protección de Datos: Riesgos y retos

8 Mins read
¿Tienes un smartphone? ¿O una Smart TV? ¿O una smartband? ¿O un smartwatch? ¿O algún juguete de tus hijos se conecta al…
AbogadosSectores

Protección de datos para despachos de abogados y procuradores

10 Mins read
El RGPD y la LOPDGDD afectan a todo tipo de profesionales que traten datos personales de clientes. En este artículo te hablamos…
EmpresaLOPDGDD & RGPD

Protección de datos en nóminas

5 Mins read
El cumplimiento del RGPD y la LOPDGDD es fundamental en el ámbito laboral. Uno de los supuestos que más dudas suscita es…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.