Conoce Atico34 - Solicita presupuesto
AbogadosLOPDGDD & RGPD

¿Dónde y cómo se regula en tratamiento de datos de naturaleza penal?

La protección de datos en el proceso penal es ligeramente diferente a la protección de datos general, por lo que necesita de una regulación específica que complemente al RGPD y la LOPDGDD. En este artículo repasamos los aspectos clave de la normativa que regula la protección de datos personales en el proceso penal.

¿Dónde se regula el tratamiento de datos de naturaleza penal?

El tratamiento de datos de naturaleza penal se regula en la Ley de Protección de Datos en investigaciones penales, que transpone la Directiva (UE) 2016/680 relativa al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

Por lo tanto, la Ley de Protección de Datos en investigaciones penales regula la forma en la que se han de proteger los datos de carácter personal en todo lo relativo a los procedimientos penales, desde la prevención e investigación, hasta el proceso judicial y su resolución. Esto afecta tanto a los datos personales de los investigados como a los de las víctimas, testigos, peritos y cualquier otra persona que intervenga o se vea afectada por el proceso.

En cuanto al RGPD y la LOPDGDD, se aplican de manera subsidiaria en los procesos penales.

tarifas proteccion datos

¿Cómo se regula en tratamiento de datos de naturaleza penal?

Las obligaciones y requisitos establecidos en la Ley de Protección de Datos en investigaciones penales son de aplicación siempre que se realice un tratamiento total o parcialmente automatizado o no automatizado de datos personales contenidos o destinados a incluirse en un fichero y realizados por las autoridades competentes con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

Cabe señalar que esta normativa también es de aplicación para los tratamientos de datos personales que realicen las partes de aquellos datos que les hubieran sido revelados en el desarrollo del proceso.

Autoridades competentes

Este concepto ha aparecido ya varías veces en el artículo; la Ley establece cuáles son las autoridades competentes para tratar datos personales con los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y prevención frente a las amenazas contra la seguridad pública (art. 1).

En concreto, las autoridades competentes son:

  • Las Fuerzas y Cuerpos de Seguridad
  • Las Administraciones Penitenciarias
  • La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria
  • El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias)
  • La Comisión de Vigilancia de Actividades de Financiación del Terrorismo
  • Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal

Estas autoridades competentes tendrán la consideración de responsable del tratamiento y/o encargado del tratamiento, en función de quien establezca las condiciones del tratamiento.

Principios de protección de datos

Cualquier tratamiento de datos de personales en el proceso personal debe estar regido por los siguientes principios:

  • Tratados de manera lícita y leal. El tratamiento será lícito siempre que sea necesario para alcanzar los fines señalados en el artículo 1 de la Ley y se lleve a cabo por una autoridad competente en el ejercicio de sus funciones.
  • El tratamiento tendrá un fin determinado, explícito y legítimo.
  • Los datos serán adecuados, pertinentes y no excesivos respecto a su finalidad.
  • Los datos serán exactos y, cuando sea necesario, actualizados. Se adoptarán las medidas razonables para suprimir o rectificar los datos inexactos, sin dilación indebida.
  • Se conservarán durante un plazo de tiempo limitado.
  • Se garantizará su seguridad frente al tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental.
  • Los datos personales no se podrán tratar con fines diferentes a los que se establece en el artículo 1 de la Ley.
  • Solo podrán tratarse los datos con fines distintos cuando:
    • El responsable del tratamiento sea competente para tratar datos para ese otro fin, de acuerdo al Derecho de la UE o de la legislación española.
    • El tratamiento sea necesario y proporcionado para consecución de ese otro fin, de acuerdo al Derecho de la UE o de la legislación española.
  • El responsable del tratamiento deberá garantizar el cumplimiento de la Ley (principio de responsabilidad proactiva).

Deber de colaboración

Se establece un deber de colaboración entre las Administraciones Públicas o cualquier persona física o jurídica y las autoridades competentes, a través de la cual, las primeras deberán proporcionar a las segundas cualquier información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas, así como para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores.

Es decir, que salvo para los casos en los que sea necesaria una autorización judicial, cualquier administración pública, persona, empresa u organización, debe colaborar con las autoridades competentes y facilitarles la información personal que requieran para llevar a cabo las funciones sobre las que tienen potestad (art. 1) y, además, no se deberá informar de ello al interesado o interesados afectados.

Conservación de los datos

El responsable deberá determinar un plazo de conservación de los datos, que será el mínimo necesario para cumplir con los fines previstos.

Como norma general, el plazo máximo para conservación de datos personales en el proceso penal es de 20 años.

No obstante, el responsable del tratamiento deberá revisar la necesidad de conservar, limitar o suprimir los datos personales como máximo cada tres años.

Distinción entre categorías de interesados

Se establece en la Ley la obligación para el responsable de distinguir en sus tratamientos las siguientes categorías de interesados:

  • Sospechosos
  • Condenados y sancionados
  • Víctimas o afectados de una infracción penal
  • Terceros involucrados: testigos, peritos o personas de contacto o asociadas a sospechosos o condenados.

Así mismo, el responsable del tratamiento deberá establecer, en la medida de lo posible, una distinción entre los datos personales basados en hechos y los basados en apreciaciones personales.

Transmisión de datos

Cuando se realicen transmisiones de datos a otros destinatarios, si al tratamiento se le aplican condiciones específicas, el responsable del tratamiento deberá de informar de las mismas al destinatario, que tendrá la obligación de respetarlas.

Entre las condiciones especiales se encuentran la prohibición de transmisión de datos o de su utilización para fines distintos para los que fueron transmitidos, o la prohibición de dar información al interesado sin la autorización previa del responsable del tratamiento.

Datos especialmente protegidos

Solo se tratarán datos especialmente protegidos (los así establecidos en el artículo 9 del RGPD) cuando sea estrictamente necesario y con sujeción a las garantías adecuadas para los derechos y libertades del interesado, siempre que se cumplan las siguientes circunstancias:

  • Esté previsto en una norma con rango de ley o por el Derecho de la UE.
  • Sea necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona.
  • El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

Se permite a las autoridades competentes, en el ejercicio de sus funciones y competencias, tratar datos biométricos dirigidos a identificar de manera unívoca a una persona física con los fines de prevención, investigación, detección de infracciones penales, incluidas la protección y la prevención frente a amenazas contra la seguridad pública.

Decisiones automatizadas

La Ley prohíbe las decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, salvo que así lo autorice una norma con rango de ley o el Derecho de la UE.

Videovigilancia

La protección de datos de personas en el proceso penal también incluye la videovigilancia, en concreto, el uso de sistemas de videovigilancia para la captación, reproducción y tratamientos de datos personales por las Fuerzas y Cuerpos de Seguridad para los fines establecidos en la Ley, así como las actividades preparatorias, no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Se podrán, por tanto, instalar sistemas de videovigilancia, siempre atendiendo al principio de proporcionalidad, cuando sean necesarios para:

  • Asegurar la protección de los edificios e instalaciones propias.
  • Asegurar la protección de edificios e instalaciones públicas y de sus accesos que estén bajo custodia.
  • Salvaguardar y proteger las instalaciones útiles para la seguridad nacional y prevenir, detectar o investigar la comisión de infracciones penales y la protección y prevención frente a las amenazas contra la seguridad pública.

Se informará a los ciudadanos de la existencia de las cámaras de videovigilancia fijas, aunque sin necesidad de especificar su ubicación, así como de la autoridad responsable del tratamiento ante la que pueden ejercer sus derechos.

El plazo de conservación de estas grabaciones será de tres meses desde su captación, salvo que estén relacionadas con la comisión de infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o en un procedimiento judicial o administrativo abierto.

Derechos de los interesados

El ejercicio de derechos de los interesados y la gestión de los mismos por parte del responsable, se realiza siguiendo lo dispuesto en la normativa de protección de datos y respetando el derecho de información, de acceso, rectificación, supresión y limitación en los siguientes términos:

  • Información: El responsable del tratamiento informará a los interesados de forma clara y concisa de:
    • Datos identificativos y de contacto del responsable del tratamiento
    • Datos de contacto del Delegado de Protección de Datos
    • Finalidad del tratamiento
    • Base jurídica del tratamiento
    • Plazo de conservación
    • Categorías de destinatarios de los datos
    • Derecho a solicitar el acceso, rectificación, supresión y limitación del tratamiento
    • Derecho a reclamar ante la autoridad de protección de datos y datos de contacto de esta
  • Derechos acceso, rectificación, supresión y limitación: Los interesados podrán solicitar el derecho de acceso, rectificación, supresión y limitación de sus datos al responsable del tratamiento, si bien, cabe la posibilidad de aplicar restricciones a su ejercicio, en las siguientes circunstancias (siempre teniendo en cuenta los derechos fundamentales y los intereses legítimos de la persona afectada):
    • Impedir que se obstaculicen indagaciones, investigaciones o procedimientos judiciales.
    • Evitar que se cause perjuicio a la prevención, detección, investigación y enjuiciamiento de infracciones penales o a la ejecución de sanciones penales.
    • Proteger la seguridad pública.
    • Proteger la Seguridad Nacional.
    • Proteger los derechos y libertades de otras personas.

La Ley también establece que investigaciones y procesos penales, el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación se llevará a cabo de acuerdo a las normas procesales penales, cuando los datos personales figuren en resoluciones judiciales, registros, diligencias o expedientes.

Registro de actividades de tratamiento

Responsables y encargados del tratamiento están obligados a llevar un registro de actividades de tratamiento, que contendrá la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable y del Delegado de Protección de Datos.
  • Finalidad del tratamiento.
  • Base jurídica del tratamiento.
  • Categorías de destinatarios de los datos personales.
  • Descripción de categorías de interesados y de categorías de datos personales.
  • Categorías de transferencias de datos personales fuera de la UE.
  • En su caso, el recurso a la elaboración de perfiles.
  • Transferencias internacionales de las que van a ser objeto los datos, si procede.
  • Plazos previstos para la supresión de datos.
  • Descripción de las medidas de seguridad adoptadas.

Registro de operaciones

Responsables y encargados de tratamiento deberán mantener registros de las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados:

  • Recogida
  • Alteración
  • Consulta
  • Comunicación
  • Incluidas las transferencias
  • Combinación o supresión

La finalidad de estos registros es verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y políticas de protección de datos y garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales.

Seguridad de los datos

Los datos tienen que ser tratados de forma que se garantice una seguridad adecuada, frente a intromisiones no autorizadas y contra su pérdida o destrucción, ya sea consciente o accidental. A tal fin se exige a responsables y encargados del tratamiento aplicar medidas de seguridad técnicas y organizativas apropiadas. En todo caso habrá de atenderse a los riesgos inherentes al tratamiento y a la tecnología disponible en cada momento.

Para ello, se realizarán los correspondientes análisis de riesgos sobre los tratamientos de datos a realizar, así como evaluaciones de impacto cuando los tratamientos impliquen el uso de nuevas tecnologías y de ello se derive un alto riesgo para los derechos y libertades de los interesados.

Delegado de Protección de Datos

Los responsables del tratamiento deberán designar un Delegado de Protección de Datos (DPO), con la excepción de los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos se realice en el ejercicio de sus funciones jurisdiccionales.

Las funciones del DPO son:

  • Informar y asesorar al responsable del tratamiento y resto de empleados sobre las obligaciones que les afectan de la Ley.
  • Supervisar el cumplimiento de la Ley.
  • Asesorar sobre la evaluación de impacto y supervisar su realización.
  • Cooperar con la AEPD.
  • Actuar como punto de contacto entre la AEPD.

Transferencias internacionales

Las transferencias internacionales de datos solo deberán realizarse cuando sean necesarias para los fines establecidos en el artículo 1 de la Ley y cuando el responsable del tratamiento del tercer país destinatario de los datos sea una autoridad competente en relación a dichos fines.

La Comisión Europea evaluará al tercer país en relación con su nivel de protección de datos.

Notificación de brechas de seguridad

Se deberán notificar las brechas de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados a la AEPD y los propios interesados afectados, en un plazo no superior a 72 horas desde que se detectó el incidente.

protección de datos en el proceso penal

Régimen sancionador

La Ley tipifica en sus artículos 58, 59 y 60 las infracciones muy graves, graves y leves respectivamente, que son motivo de las siguientes sanciones para responsables y encargados del tratamiento:

  • Muy graves: multa de 360.001 a 1 millón de euros.
  • Graves: multa de 60.001 a 360.000 euros.
  • Leves: multa de 6.000 a 60.000 euros.

Así mismo, señala que en caso de que responsable o encargado sea uno de los sujetos enumerados en el artículo 77.1 de la LOPDGDD, a estos se les impondrá las sanciones establecidas en dicho artículo.

Acceso a los expedientes y resoluciones judiciales

La Ley modifica algunos de los artículos de la Ley del Poder Judicial respecto al acceso a expedientes y resoluciones judiciales.

– Para las partes del proceso judicial:

Las partes pueden tener acceso a las actuaciones procesales y han de tener acceso completo a los actos procesales y pueden pedir y obtener las copias y testimonios que precisen, sin necesidad de acreditar otro interés legítimo que el carácter de parte. Salvo que se haya acordado, eso sí, la reserva para ello, por la declaración del secreto de las actuaciones o por la protección de un testigo.

Las actuaciones de carácter reservado únicamente se conocerán por las partes y por sus representantes y defensores, sin perjuicio de lo previsto para los hechos y datos con relevancia penal, tributaria o de otra índole.

– Para terceros que acrediten un interés legítimo:

El acceso a resoluciones judiciales, o a determinados extremos de las mismas, u otras actuaciones procesales por quienes no sean parte, pero acrediten un interés legítimo y directo, podrá realizarse previa disociación, anonimización o cualquier otra medida de protección de datos personales que contengan.

Límites de acceso

El acceso a expedientes y resoluciones judiciales queda limitado por la declaración de derecho de las actuaciones, así como para la protección de testigos y peritos.

Datos personales en la publicación de edictos

La publicación a través de edictos únicamente está justificada cuando existe imposibilidad de notificación personal o a través de un tercero.

Existe una especialidad respecto a los tratamientos de datos de menores que deben ser objeto de publicación a través de edictos. En atención al superior interés de los menores y para preservar su intimidad, deben omitirse los datos personales, nombres y apellidos, domicilio, o cualquier otro dato o circunstancia que directa o indirectamente pudiera permitir su identificación.

No debe incluirse en los actos de comunicación:

  • Ningún dato personal que no sea estrictamente necesario para alcanzar su fin.
  • Datos de menores, al objeto de respetar su intimidad.
  • Los datos personales en situaciones tendentes a preservar la intimidad de quien demanda por estar vulnerado su derecho a la intimidad, por su innecesaria identificación en un medio de comunicación como víctima de un delito contra la libertad sexual.

Datos personales en la publicación de sentencias y resoluciones judiciales

El acceso al texto de las sentencias, o a determinados extremos de estas, o a otras resoluciones dictadas en el seno del proceso, solo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran y con pleno respeto al derecho a la intimidad, a los derechos de las personas que requieran un especial deber de tutela o a la garantía del anonimato de las víctimas o perjudicados, cuando proceda.

Las sentencias, una vez dictadas y firmadas por el juez o por todos los Magistrados, se depositarán en la Oficina judicial y se permitirá a cualquier interesado el acceso al texto de las mismas. Se establecen determinadas restricciones en el supuesto de que existiera riesgo para el derecho a la intimidad o los derechos de las personas por su consideración de víctimas o perjudicados.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.