I.
Datos sobre la sociedad de los datos
Un pasajero que se disponga a embarcar en un vuelo con destino a una ciudad de la Unión Europea puede verse sometido a comprobaciones adicionales e, incluso, puede prohibirse su embarque, aunque no haya incumplido ninguna norma de seguridad aeronáutica ni haya incurrido en ningún tipo de conducta de riesgo.
La medida puede ser consecuencia del procesamiento de sus datos de pasajero (tales como fecha de reserva y de emisión del billete, fechas previstas del viaje, datos de pago, incluida la dirección de facturación, itinerario completo del viaje, datos del asiento, incluido el número, información sobre códigos compartidos, información relativa al equipaje, entre otros) que las compañías aéreas están obligadas a proporcionar a las autoridades policiales (los llamados datos PNR
(1) ) y cuyo tratamiento a gran escala, con tecnologías de big data permite identificar perfiles de riesgo en los desplazamientos en avión. Este tratamiento debe realizarse dentro de los límites que establece la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (LA LEY 6636/2016), relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
En España esta Directiva fue transpuesta a nuestro ordenamiento jurídico a través de la Ley Orgánica 1/2020, de 16 de septiembre (LA LEY 16541/2020), sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves. La Ley Orgánica 1/2020 limita el tratamiento de los datos PNR únicamente a los que sean expresamente considerados como tales y con la exclusiva finalidad de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves. Es decir, que el tratamiento de datos al servicio de fines de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y otros delitos graves ni puede abarcar otros datos que los enumerados en el artículo 5 (LA LEY 16541/2020), ni puede servir para prevenir o perseguir otros delitos que los enumerados en el artículo 4 (LA LEY 16541/2020) ni puede amparar otras medidas que las recogidas en el artículo 12.2 (LA LEY 16541/2020) (realizar una evaluación de los pasajeros y de la tripulación antes de la llegada o salida programada del vuelo, etc.).
Aunque esta aplicación del tratamiento de datos a fines relacionados con la seguridad pública está sometida a una estricta regulación, todas las herramientas de vigilancia digital generan una inevitable controversia en el terreno de la protección de los derechos fundamentales frente a nuevas formas de agresión. Algunos autores han hablado de un «Panóptico posmoderno»
(2) como imagen que describe ese estado de supervisión permanente basado en la exposición, consciente o inconsciente, de nuestra privacidad en la sociedad digital contemporánea.
Efectivamente, estas aplicaciones basadas en el tratamiento masivo de datos para fines de prevención e investigación de los delitos o para proteger la seguridad ciudadana no puede entenderse sin tomar conciencia de la intensidad con que habitamos ese espacio común global (global common, según la literatura anglosajona) que es el ciberespacio.
En enero de 2021 el número de usuarios de Internet en el mundo superó los 4.600 millones, lo que equivale al 59,5% de la población mundial, de los cuales el 92,6%, es decir, prácticamente todos, acceden a la Red desde sus dispositivos móviles.
Asimismo, los «países» más poblados del planeta son ahora las redes sociales, que desbordan las fronteras físicas, culturales y políticas tradicionales y generan entornos virtuales de relación, necesariamente sometidos a algún tipo de regulación jurídica, de 2.800 millones de «habitantes», como Facebook o más de 1.000 millones, como Instagram. La conectividad no es solo un atributo de las relaciones entre personas, sino que cada año se multiplica el número de objetos conectados a Internet, desde industrias gigantescas hasta artilugios tan cotidianos como una prenda de ropa o un electrodoméstico, que previsiblemente superaran los 50.000 millones en el año 2030.
El mundo virtual se desarrolla la comunicación personal y el acceso a información con una velocidad y un alcance sin precedentes, el comercio internacional, los servicios públicos, las relaciones internacionales y también el crimen y la guerra. Como señala la primera conclusión del «Informe de la Ponencia para el estudio de diversas cuestiones relativas a la ciberseguridad en España», aprobado por la Comisión Mixta de Seguridad Nacional de las Cortes Generales (3) : «La profundidad y relevancia de los cambios que la disrupción digital está produciendo en los sistemas económicos, los sistemas políticos, los modelos comerciales y, en general, en las relaciones sociales, supone una transformación integral de la realidad que conocemos».
La materia prima que se produce, se consume y se intercambia en esta intensa vida virtual es la información y, por tanto, la commodity más valiosa de la nueva economía digital son los datos, que cada usuario de redes sociales o cada objeto conectado a la Red producen en una magnitud de 1,7 MB por segundo.
Esta incesante generación de datos ha dado pie al desarrollo de tecnologías cada vez más sofisticadas para su procesamiento, convirtiendo el tratamiento de datos a gran escala en una poderosa herramienta, susceptible de ser utilizada para todo tipo de fines comerciales, pero también para otros usos, incluidos aquellos que suponen una intromisión ilegítima en la privacidad del titular de los datos, que la mayor parte de las veces no es consciente del tratamiento que se realiza de sus datos personales, verdaderas emanaciones de su personalidad.
II.
El derecho fundamental a la protección de datos personales
La prevención, persecución y sanción de los ilícitos penales y la protección de la seguridad también utilizan las tecnologías de tratamiento masivo de datos, como herramientas para prevenir la comisión de delitos —especialmente los más graves, como el terrorismo o el crimen organizado— para investigar los hechos delictivos, identificar a los responsables de los mismos, promover su enjuiciamiento mediante la aportación de pruebas o evitar que eludan la acción de la justicia garantizando el cumplimiento de las sanciones impuestas.
Además del tratamiento masivo de datos para fines de prevención de la delincuencia, la actuación de los cuerpos policiales, de la Fiscalía o de los propios órganos jurisdiccionales en la investigación de los delitos acumula una ingente cantidad de datos personales, a lo que podemos añadir los que analizan otras autoridades públicas encargadas de cierto tipo de indagaciones, como es el caso del Servicio Ejecutivo de Prevención del Blanqueo de Capitales (SEPBLAC) o la Dirección Adjunta de Vigilancia Aduanera.
Con el precedente, en el ámbito del Consejo de Europa, del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (LA LEY 199/1981), firmado en Estrasburgo el 28 de enero de 1981, conocido como el Convenio 108, el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) (LA LEY 6/1957) reconoce el derecho de todas las personas a la protección de los datos de carácter personal que le conciernan, al tiempo que establece un mandato a los órganos legislativos de la Unión, esto es, el Parlamento Europeo y el Consejo, de aprobar, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y someter el cumplimiento de dichas normas al control de autoridades independientes.
En la misma línea, el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) reconoce el derecho fundamental a la protección de los datos de carácter personal y añade que tales datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Asimismo, forma parte del derecho fundamental de cada persona el derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. Finalmente, en el contenido del derecho se incluye también, a modo de garantía institucional, que el respeto de las normas sobre protección de datos esté sujeto al control de una autoridad independiente.
Como ha señalado el Tribunal de Justicia de la Unión Europea (TJUE) (4) , tanto el artículo 16 del TFUE (LA LEY 6/1957) como el artículo 8 de la Carta de Derechos Fundamentales de la UE (LA LEY 12415/2007) declaran que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan si bien es el artículo 8 de la Carta la norma que prescribe de manera más específica, en su apartado 2, las condiciones en que tales datos pueden ser objeto de tratamiento.
Podemos afirmar que los dos preceptos citados han «constitucionalizado» en el ordenamiento jurídico de la Unión Europea el derecho de protección de datos, así como su contenido esencial y la garantía institucional del control de su adecuado cumplimiento por parte de autoridades independientes.
En el constitucionalismo europeo, la Constitución portuguesa de 1976 fue pionera en reconocer, en su artículo 35, una serie de derechos fundamentales frente al uso de la informática y con ello inspiró al Constituyente español, que introdujo en el apartado 4 del artículo 18 un visionario derecho fundamental a la «autodeterminación informativa», en virtud del cual la Constitución exige que la Ley limite «el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.»
En España, este derecho fundamental a la autodeterminación informativa se reconoce por primera vez en la Sentencia del Tribunal Constitucional 254/1993, de 20 de julio (LA LEY 2282-TC/1993) y adquiere entidad propia, como derecho autónomo con respecto al derecho a la intimidad, en la importante STC 292/2000, de 30 de noviembre (LA LEY 11336/2000).
El mandato del artículo 16.2 del TFUE (LA LEY 6/1957) cristalizó, en 2016, en la aprobación de dos importantes normas jurídicas que vertebran el Derecho de la Unión Europea en materia de protección de datos personales, una de ellas con forma de Reglamento, de aplicación directa sin necesidad de trasposición alguna y la otra con forma jurídica de Directiva. Tales actos jurídicos que constituyen el acervo normativo de la Unión Europea en materia de protección de datos personales son:
III.
Nuevos planteamientos para un viejo debate entre libertad y seguridad: protección de datos personales en la prevención, persecución y sanción de los ilícitos penales y en la protección de la seguridad
La Directiva (UE) 2016/680 entró en vigor el 6 de mayo de 2016, si bien, como toda Directiva, exigía su transposición al ordenamiento jurídico de cada Estado miembro previendo, en su artículo 63, apartado 1 (LA LEY 6638/2016), que el plazo para dicha transposición finalizaría el 6 de mayo de 2018.
La Directiva (UE) 2016/680 (LA LEY 6638/2016) es la norma mediante la cual el legislador de la Unión da cumplimiento al mandado del artículo 16.2 del TFUE (LA LEY 6/1957) y desarrolla el derecho fundamental a la protección de los datos personales del artículo 8 de la Carta de los Derechos Fundamentales (LA LEY 12415/2007) en un contexto tan específico como extraordinariamente sensible, como es el tratamiento por parte de las autoridades policiales a todos los efectos relacionados con la prevención, investigación, detección o enjuiciamiento de las infracciones penales o la ejecución de las sanciones penales.
En cumplimiento de este mandato de transposición al ordenamiento jurídico interno, Alemania aprobó el 30 de junio de 2017 una reforma de la Ley Federal de Protección de Datos para adaptar su contenido al Reglamento (UE) 2016/679 (LA LEY 6637/2016) y a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016).
Bélgica llevó a cabo la transposición mediante la aprobación de un nuevo Título II en la Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, introducido por Ley de 30 de julio de 2018.
Francia aprobó la Ordonnance no 2018-112, de 12 de diciembre de 2018, por la que se reformó la Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, incorporando en su Título II (artículos 42 a 86) las modificaciones derivadas de la entrada en vigor del Reglamento (UE) 2016/679 (LA LEY 6637/2016) y en su Título III (artículos 87 a 114) las normas que transponen la Directiva (UE) 2016/680, de 27 de abril de 2016 (LA LEY 6638/2016). Esta adaptación del Derecho francés a la normativa europea sobre protección de datos se completó con la aprobación en 2019 del Decreto 2019-536, de 29 de mayo de 2019, de desarrollo de la Ley de 1978.
El Reino Unido modifico su Data Protection Act de 2018, incorporando en su Parte III las modificaciones necesarias para su adaptación a la normativa de la Unión Europea. Tras la consumación del «Brexit» se ha mantenido la vigencia tanto del RGPD como de la Directiva (UE) 2016/680 (LA LEY 6638/2016), con modificaciones que afectan al alcance territorial y al régimen de las transferencias internacionales de datos, todo ello a través de un Statutory Instrument aprobado en 2019.
Italia aprobó en 2018 el Decreto legislativo 18 maggio 2018, n. 51, que transpone la Directiva (UE) 2016/680 (LA LEY 6638/2016) mientras que Portugal llevó a cabo dicha transposición a través de la Ley 59/2019, de 8 de agosto.
España, sin embargo, rompió la tónica general de los Estados miembros en lo relativo a la adaptación de su Derecho interno a la legislación europea en materia de protección de datos al haber incurrido en un grave incumplimiento del plazo de transposición de la Directiva (UE) 2016/680 (LA LEY 6638/2016), que ha tenido como consecuencia el «dudoso honor» de ser el primer caso en que el Tribunal de Justicia de la Unión Europea (5) impone a un Estado miembro, de forma simultánea, las dos sanciones previstas en el artículo 260 del TFUE (LA LEY 6/1957), esto es, la condena al pago de una multa coercitiva diaria de 89.000 € para poner fin al incumplimiento declarado y la imposición de una suma a tanto alzado, nada menos que quince millones de euros, como medida disuasoria para prevenir futuros incumplimientos.
La Sentencia es especialmente crítica con la pasividad de España en la transposición de la Directiva (UE) 2016/680 (LA LEY 6638/2016) y no acepta como justificación la invocada excepcionalidad de la vida política española en ese período, «caracterizada por disoluciones recurrentes de las Cortes Generales, un Gobierno en funciones y la celebración de nuevas elecciones».
Así, la Sentencia del TJUE destaca la importancia de la Directiva 2016/680 (LA LEY 6638/2016) cuando afirma que «pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia dentro de la Unión, al tiempo que establece un marco para la protección de los datos personales sólido y coherente con el fin de garantizar el respeto del derecho fundamental a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, reconocido en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) y en el artículo 16 TFUE (LA LEY 6/1957), apartado 1». Seguidamente, el Tribunal censura la falta de transposición por parte de España afirmando que «la falta o la insuficiencia, a escala nacional, de normas que garanticen el buen funcionamiento del espacio de libertad, seguridad y justicia dentro de la Unión deben considerarse especialmente graves habida cuenta de sus consecuencias para los intereses públicos y privados dentro de la Unión».
IV.
La tramitación parlamentaria de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
En este contexto de grave incumplimiento de la obligación de transposición de la Directiva (UE) 2016/680 (LA LEY 6638/2016) al Derecho español, el pasado 9 de febrero de 2021 el Consejo de Ministros, aprobó el
Proyecto de Ley Orgánica de protección de datos personales (LA LEY 16062/2018) tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, acordando no solo su remisión al Congreso de los Diputados para su tramitación, conforme a lo dispuesto en el artículo 88 de la Constitución Española (LA LEY 2500/1978), sino también la declaración de urgencia en su tramitación que, conforme a lo dispuesto en el artículo 93 del Reglamento del Congreso de los Diputados (LA LEY 285/1982), fue acordada por la Mesa en su sesión de 16 de febrero de 2021, encomendado el dictamen urgente sobre el proyecto de ley a la Comisión de Interior del Congreso de los Diputados.
En relación con la tramitación por el procedimiento de urgencia, es oportuno hacer dos precisiones:
-
— En primer lugar, al tratarse de una norma que desarrolla el derecho fundamental reconocido en el artículo 18.4 CE (LA LEY 2500/1978), es imprescindible su aprobación como ley orgánica, lo que impide la ágil tramitación que la transposición de la Directiva (UE)2016/680 (LA LEY 6638/2016) ha tenido en otros Estados miembros de la Unión Europea y condiciona los efectos de la declaración de urgencia adoptada por el Consejo de Ministros, toda vez que las leyes orgánicas deben ser aprobadas por mayoría absoluta del Congreso de los Diputados en una votación final sobre el conjunto del proyecto (artículo 81.2 CE (LA LEY 2500/1978)), lo que excluye la posibilidad de su aprobación en Comisión con competencia legislativa plena (artículo 75.3 CE (LA LEY 2500/1978)).
-
— En segundo lugar, no existe, como tal, un verdadero procedimiento de urgencia en nuestro Derecho parlamentario, al menos en el Congreso de los Diputados, pues la declaración de urgencia solo implica la reducción de los plazos ordinarios a la mitad, según el artículo 94 del Reglamento, lo que realmente no tiene consecuencias claras por la ausencia de plazos preclusivos en la tramitación de iniciativas legislativas en el Congreso. En el Senado, en cambio, la declaración de urgencia obliga a la Cámara alta a concluir la deliberación y aprobación del proyecto de ley en el efímero plazo de veinte días naturales (artículo 90.3 CE (LA LEY 2500/1978)).
Con arreglo a estas especialidades procedimentales y a la imperiosa necesidad de aprobar cuanto antes la Ley Orgánica que transpone a nuestro ordenamiento la Directiva (UE) 2016/680 (LA LEY 6638/2016), hemos de señalar que esta norma regula el tratamiento nacional y transfronterizo de datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, todo ello según el artículo 1 de la Directiva (LA LEY 6638/2016).
V.
Las principales novedades de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
La Directiva 2016/680 (LA LEY 6638/2016) fue el primer instrumento normativo que adopta un enfoque global en el ámbito penal, en contraposición con los anteriores enfoques ad hoc, por los que cada instrumento penal se regía por sus propias normas de protección de datos (6) .
La Ley Orgánica 7/2021 (LA LEY 11831/2021), que transpone a nuestro ordenamiento la Directiva (UE) 2016/680 (LA LEY 6638/2016) se estructura en ocho capítulos junto con cinco disposiciones adicionales, una transitoria, una derogatoria y doce disposiciones finales.
El objetivo de la nueva ley orgánica es encontrar el equilibrio, no siempre fácil, entre el tratamiento de datos personales que resulta necesario para la prevención, investigación y sanción de los delitos, incluyendo aquellos tratamientos que formen parte de la cooperación policial internacional y la protección del derecho fundamental a la autodeterminación informativa. Se trata, por tanto, de un capítulo más de la secular construcción del sistema de garantías propio de un Estado de Derecho que pretende hacer posible la convivencia entre la prevención, investigación y sanción de los ilícitos penales y la protección de los derechos fundamentales.
Dentro de esta lógica, el Capítulo I, dedicado a las disposiciones generales, delimita el objeto de la nueva Ley Orgánica en el artículo 1 (LA LEY 11831/2021) como las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Tales autoridades competentes, a los efectos de la nueva regulación, son las Fuerzas y Cuerpos de Seguridad, las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal, las Administraciones Penitenciarias, la Dirección Adjunta de Vigilancia Aduanera, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
Especialmente relevante es la aplicación de la nueva norma a los tratamientos que realicen los órganos jurisdiccionales del orden penal y el Ministerio Fiscal, pues desde la remisión al Congreso de los Diputados del proyecto de Ley Orgánica, el prelegislador abandonó la redacción inicial del anteproyecto y asumió la observación esencial realizada por el Consejo de Estado en su Dictamen de 11 de febrero de 2021, en la que el órgano consultivo reprochaba severamente que el anteproyecto estableciese su aplicación meramente supletoria a tales tratamientos en todo lo no regulado por la Ley Orgánica del Poder Judicial (LA LEY 1694/1985) o el Estatuto Orgánico del Ministerio Fiscal (LA LEY 2938/1981).
Sin embargo, en la redacción finalmente aprobada por el Consejo de Ministros tienen la consideración de autoridades competentes las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LA LEY 1694/1985), las leyes procesales que le sean aplicables y, en su caso, la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal (LA LEY 2938/1981). En todo caso, tales tratamientos quedan excluidos del ámbito de competencia de las autoridades de control, por elementales exigencias de la naturaleza constitucional de los órganos jurisdiccionales y del Ministerio Fiscal.
En la tramitación parlamentaria en el Congreso de los Diputados se aprobaron varias enmiendas propuestas conjuntamente por el Grupo Parlamentario Socialista y el Grupo Parlamentario Confederal de Unidas Podemos-En Comú Podem Galicia en Común, que han dado su redacción definitiva a las disposiciones finales primera y segunda de la nueva Ley Orgánica, a través de las cuales se introducen las necesarias modificaciones en la Ley la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal (LA LEY 2938/1981) y en la Ley Orgánica 6/1985 de 1 de julio, del Poder Judicial (LA LEY 1694/1985), para hacer efectivo el nuevo régimen de protección de datos personales en los respectivos ámbitos de actuación.
Tratándose de enmiendas presentadas de forma conjunta por los dos grupos parlamentarios que sustentan al Gobierno de coalición, es fácil intuir que se trataba de un complemento imprescindible del texto inicial del proyecto de ley, probablemente incompleto por razón de la urgencia con que se ha llevado a cabo la transposición de la Directiva 2016/680 (LA LEY 6638/2016), por las razones ya explicadas.
La nueva Ley Orgánica se aplica también al tratamiento de datos personales que procedan de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y a la que se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico.
Por el contrario, quedan excluidos del ámbito de aplicación de la Ley Orgánica los tratamientos de datos realizados por las autoridades competentes para fines distintos de la prevención, detección, investigación y enjuiciamiento de infracciones penales o de la ejecución de sanciones penales. También se excluyen los tratamientos que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, los sometidos a la normativa sobre materias clasificadas, entre los que se encuentran los tratamientos relativos a la Defensa Nacional, los tratamientos realizados en las acciones civiles y procedimientos administrativos o de cualquier índole vinculados con los procesos penales que no tengan como objetivo directo los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
En el Capítulo II se recogen los principios de protección de datos cuya garantía corresponde al responsable del tratamiento. Dicho capítulo está estructurado en dos secciones dedicadas, respectivamente, a los principios y licitud del tratamiento de los datos y al tratamiento de los mismos en el ámbito de la videovigilancia por parte de las Fuerzas y Cuerpos de Seguridad.
El considerando 36 de la Directiva 2016/680 (LA LEY 6638/2016) afirma que «los fines específicos a los que obedezca el tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de la recopilación de los datos personales. Los datos personales deben ser adecuados y pertinentes en relación con los fines para los que se tratan, lo cual requiere, en particular, que se garantice que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Los Estados miembros deben establecer las salvaguardias adecuadas en relación con los datos personales almacenados por períodos más largos para su archivo por cuestiones de interés público o para su uso científico, estadístico o histórico».
En línea con esta previsión de la Directiva, la nueva Ley Orgánica prevé que los principios generales aplicables a cualquier tratamiento de datos personales consisten en que sean tratados de manera lícita y leal, que sean tratados por las autoridades competentes, que resulten necesarios para los fines de la ley orgánica, que sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados, que sean exactos y, si fuera necesario, actualizados y que sean conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados. Asimismo, que sean tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
La licitud del tratamiento se vincula, en el artículo 11 (LA LEY 11831/2021), a que sea necesario para los fines señalados en el artículo 1 (LA LEY 11831/2021) y se realice por una autoridad competente en ejercicio de sus funciones. En el apartado 2 de este precepto se pretende condicionar al legislador futuro al prever que cualquier ley que regule tratamientos de datos personales para los fines incluidos dentro del ámbito de aplicación de la Ley Orgánica deberá indicar, al menos, los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento. Ciertamente un precepto de esta naturaleza tiene una limitadísima aplicación práctica pues desde su jurisprudencia más temprana sobre la naturaleza de las leyes orgánicas, el Tribunal Constitucional aclaró que su relación con las leyes ordinarias no se basa en el principio de jerarquía sino en el de competencia, por lo que los intentos de obligar al legislador futuro, por bienintencionados que sean, carecen de virtualidad en nuestro sistema de fuentes del Derecho.
En este capítulo se incluye el deber de colaboración con las autoridades competentes, en virtud del cual las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Con el fin de evitar que se perjudiquen los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como la protección y la prevención frente a las amenazas contra la seguridad pública, se impone la prohibición de informar al interesado en dichos tratamientos.
Especial importancia tiene la regulación de los plazos de conservación y de revisión de los datos personales tratados. La regla general es que el plazo de conservación ha de ser el necesario para el cumplimiento de los fines previstos en la norma, si bien se contempla un plazo máximo de conservación de 20 años, salvo que concurran factores como la existencia de investigaciones abiertas o delitos que no hayan prescrito, la no conclusión de la ejecución de la pena, reincidencia, necesidad de protección de las víctimas u otras circunstancias motivadas que hagan necesario el tratamiento de los datos para el cumplimiento de los fines enunciados en el artículo 1 (LA LEY 11831/2021).
El responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1 y se contempla también la obligación de revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento como máximo cada tres años, atendiendo especialmente en cada revisión a la edad del afectado, el carácter de los datos y a la conclusión de una investigación o procedimiento penal.
Los responsables deben, asimismo, distinguir los datos personales que correspondan a las diversas categorías de interesados: los sospechosos, los condenados o los sancionados, las víctimas o los terceros involucrados y distinguir, en la medida de lo posible, si los datos que trata son datos basados en hechos o en apreciaciones.
El tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando esté previsto en una norma del Derecho nacional o de la Unión Europea o cuando resulte necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona física cuando dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.
También tiene relevancia el artículo 14 de la Ley Orgánica (LA LEY 11831/2021), que prohíbe la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley del ordenamiento jurídico español o europeo y siempre que ésta establezca las medidas adecuadas para salvaguardar los derechos y libertades del interesado, incluyendo el derecho a obtener la intervención humana en el proceso de revisión de la decisión adoptada.
En la sección segunda de este capítulo se regula el tratamiento de datos personales en el ámbito de la videovigilancia por parte de las Fuerzas y Cuerpos de Seguridad, distinguiendo entre instalación de sistemas fijos y dispositivos móviles de grabación de imágenes y sonidos. El artículo 18 prevé que las grabaciones serán destruidas en el plazo máximo de tres meses desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto.
Las previsiones de esta Ley Orgánica sobre destrucción de determinados soportes de almacenamiento de datos personales, como este caso de las grabaciones realizadas por las Fuerzas y Cuerpos de Seguridad, plantea la relevancia de las políticas de destrucción segura de información, muchas veces orilladas al centrar las políticas de privacidad exclusivamente en la conservación de los datos y sus límites. A este respecto, es importante recordar que el Real Decreto 3/2010, de 8 de enero (LA LEY 630/2010), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en su anexo II, regula las medidas de seguridad, entre las que el apartado 5.5 está dedicado a las medidas de borrado y destrucción de soportes de información.
En el capítulo III de la nueva Ley Orgánica se regulan los derechos de los titulares de los datos personales, distinguiendo dos secciones: en la primera se regula el régimen general del ejercicio de los derechos de las personas y en la segunda un régimen especial de derechos de los interesados como consecuencia de investigaciones y procesos penales.
En línea con el régimen general de protección de datos personales, se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento, aunque con la posibilidad de restringir estos derechos cuando sea necesario para evitar que se obstaculice una investigación, evitar que se cause perjuicio a la prevención, detección, investigación y enjuiciamiento de infracciones penales o a la ejecución de sanciones penales, proteger la seguridad pública, proteger la Seguridad Nacional o proteger los derechos y libertades de otras personas.
El artículo 22 (LA LEY 11831/2021) recoge el derecho de acceso de los interesados, que consiste en el derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso afirmativo, el derecho a acceder a dichos datos personales y a la información que se enumera en dicho precepto. Durante la tramitación en el Senado, en el efímero plazo de veinte días naturales a que obliga la declaración de urgencia, se aprobó una enmienda, a propuesta del Grupo Parlamentario Vasco en el Senado, que ampliaba el alcance del derecho de acceso también a conocer la «existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado». Sin embargo, la enmienda fue finalmente rechazada en el Pleno del Congreso de los Diputados celebrado el 20 de mayo de 2021, por lo que la contribución del Senado a la nueva Ley Orgánica se limita a una breve rectificación de la redacción del artículo 36 remitida por el Congreso.
El ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial, o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales.
Las tres secciones del Capítulo IV recogen las obligaciones de los responsables y encargados del tratamiento, las medidas de seguridad y la figura del delegado de protección de datos. En términos generales, se prevé que el responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, debe aplicar las medidas técnicas y organizativas apropiadas para garantizar el respecto a la Ley Orgánica y a la legislación sectorial aplicable. En la misma línea del RGPD, el proyecto prevé que los responsables adopten los sistemas de protección de datos desde el diseño y por defecto.
El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable, debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.
Asimismo, la Ley Orgánica regula, en su ámbito específico, las obligaciones relacionadas con el registro de actividades de tratamiento y las obligaciones propias del modelo de responsabilidad activa, como la evaluación de impacto en materia de protección de datos, que busca valorar el riesgo que pudiera generar el tratamiento de los datos de carácter personal para los interesados y, a partir de dicha valoración, adoptar las medidas que procedan.
Especial relevancia tiene la regulación de la seguridad del tratamiento, estableciendo la obligación de poner en marcha el registro de operaciones como medida técnica y organizativa, así como aquellas medidas que el responsable determine como las más adecuadas para lograr el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y del nivel de riesgo que se estime. La nueva ley orgánica impone, asimismo, el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad que, con carácter general, deberá ser notificada al interesado, salvo en supuestos expresamente previstos en la ley.
El nuevo texto legal regula la figura del delegado de protección de datos con competencias de asesoramiento y supervisión de los responsables de protección de datos, que podrá ser único para varias autoridades competentes y cuya designación será obligatoria salvo en relación con los tratamientos de datos con fines jurisdiccionales.
En el capítulo V se regulan las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea u otra organización internacional y se establecen las condiciones que deberán cumplirse para que éstas sean lícitas.
El capítulo VI, por su parte, está dedicado a las Autoridades de Protección de Datos Independientes, estableciendo que estas sean la Agencia Española de Protección de Datos y las correspondientes agencias autonómicas, exclusivamente en relación a aquellos tratamientos de los que sean responsables en su ámbito de competencia, y conforme a lo dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales (LA LEY 19303/2018). La Ley Orgánica resuelve, de este modo, el debate suscitado acerca de si la autoridad de control a la que se refiere el Capítulo VI de la Directiva (UE) 2016/680 (LA LEY 6638/2016) debía ser una nueva autoridad constituida específicamente con la finalidad de control el respecto a la legislación sobre protección de datos personales en este ámbito tan sensible o, por el contrario, debían atribuirse tales competencias a la Agencia Española de Protección de Datos y a las agencias autonómicas, en su ámbito de competencias.
Además de esta regulación, las disposiciones finales segunda y tercera, introducidas por vía de enmienda durante la tramitación parlamentaria, recogen las especialidades relativas al Ministerio Fiscal y al Consejo General del Poder Judicial. Así, la disposición final primera prevé la creación, en la Fiscalía General del Estado, de la Unidad de Supervisión y Control de Protección de Datos, que ejercerá las competencias que corresponden a la autoridad de protección de datos con fines jurisdiccionales sobre el tratamiento de los mismos realizado por el Ministerio Fiscal. La disposición final tercera introduce importantes modificaciones relativas a esta materia en la Ley Orgánica del Poder Judicial (LA LEY 1694/1985), entre ellas la atribución, en el nuevo artículo 236 nonies, de las competencias que corresponden a la autoridad de protección de datos personales con fines jurisdiccionales, respecto del tratamiento de los mismos realizado por Juzgados y Tribunales, a un órgano de nuevo cuño, como es la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial.
El capítulo VII prevé el régimen aplicable a los procedimientos de reclamación que se planteen ante las citadas autoridades mientras que el capítulo VIII regula el régimen sancionador en este ámbito concreto de la protección de datos personales.
En cuanto a la entrada en vigor, la disposición final duodécima prevé que se produzca en el plazo común de 20 días desde la publicación, salvo las previsiones contenidas en el capítulo IV, relativo a las obligaciones de los responsables y encargados del tratamiento, las medidas de seguridad y la figura del delegado de protección de datos, que producirán efectos a los seis meses de la entrada en vigor de la Ley Orgánica 7/2021 (LA LEY 11831/2021).
VI.
Conclusiones: una necesaria, aunque tardía, protección del derecho fundamental consagrado en el artículo 18.4 CE
En el contexto de la sociedad digital, en la que la tecnología ha revolucionado la capacidad de almacenar y tratar datos personales con los más variados propósitos, era absolutamente necesario reforzar la protección de los derechos que pueden verse afectados en esa emanación de la propia persona que son los datos y cuya salvaguarda forma parte de ese bien jurídico que llamamos privacidad, creando el marco jurídico para el tratamiento de esos datos personales en investigaciones penales o en la ejecución de sanciones penales.
Los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como la protección y la prevención frente a las amenazas contra la seguridad pública son, sin duda, fines legítimos pero, en este caso, como en tantos, el fin no justifica los medios o, al menos, no todos los medios, por lo que tratamientos como la incorporación de datos personales a informes policiales o su utilización en el proceso, deben someterse a normas cuya razón de ser es la protección de derechos fundamentales y, en concreto, del previsto con gran anticipación por nuestra Constitución en 1978,
Asimismo, la utilización de datos personales recopilados, aportados o tratados en el marco de investigaciones penales, cuando se aparte de la finalidad prevista en la Ley Orgánica 7/2021 (LA LEY 11831/2021), se convierte en un tratamiento abusivo e ilegal que impacta de lleno en la esfera de la privacidad y que exige medidas correctoras e incluso puede dar lugar a sanciones administrativas.
La nueva Ley Orgánica se publica en un momento en que, por desgracia, son frecuentes las filtraciones de sumarios o de informes policiales y se ha generalizado un entendimiento distorsionado de las obligaciones en materia de prevención del blanqueo de capitales o la elaboración de análisis de riesgo de solvencia o de perfilado indiscriminado de clientes, trabajadores, etc., por motivos de compliance u otros similares, los datos obtenidos en el contexto de la prevención, detección, investigación y enjuiciamiento de delitos se justifican y legitiman mientras estén al servicio de esa finalidad y no cuando puedan emplearse para otros fines, incluso por los propios poderes públicos e incluso en el caso de fines que, siendo comprensibles, no justifican una invasión de la privacidad que, muchas veces, no es sino la antesala de otras vulneraciones de derechos fundamentales, como la presunción de inocencia.