Agentes de la autoridad reciben la llamada de un particular quien comunica que, estacionado en un espacio reservado para minusválidos, se encuentra un vehículo que presenta una tarjeta de estacionamiento que, a su juicio, puede haber sido manipulada.
Dichos agentes se desplazan al lugar de los hechos y comprueban que, efectivamente, dicha tarjeta presenta ciertas irregularidades que les hace sospechar que, la misma, puede haber sido objeto de algún tipo de falsificación. La tarjeta está a nombre del Sr. X y ha sido expedida por el Ayuntamiento de YYY. Los Agentes se ponen en contacto con el Ayuntamiento de YYY y solicitan le sean remitidos los datos vinculados a la tarjeta de estacionamiento a nombre del Sr. X con el número de referencia que a la misma identifica.
Esta actuación, aparentemente inocua, encierra cierta complejidad. Y no ha sido hasta fechas muy recientes cuando se le ha dado una respuesta que, hasta ahora, venía recogida en la ya vetusta Ley Orgánica de Protección de datos 15/1999.
Porque, ¿es la actuación de los Agentes de la Policía que recaban datos vinculados al Sr. X del Ayuntamiento YYY conforme a la ley? ¿Constituye su actuación una injerencia (autorizada o no) en algún derecho fundamental del Sr. X?
Es la ya clásica Sentencia del Tribunal Constitucional n.o 96/2012 (LA LEY 66248/2012) de 7 de mayo la que reconoce que el derecho a la protección de datos otorga al ciudadano un control sobre los datos relativos a la propia persona, como pudieran ser aquellos que el Sr. X cedió al Ayuntamiento YYY para la tramitación de su tarjeta de estacionamiento.
Y sólo cabe limitar la concreta facultad de disposición y control de los datos personales en atención a derechos y bienes de relevancia constitucional y, por tanto, esta limitación ha de estar justificada, ser proporcionada y, además, establecerse por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites.
Y, ¿en qué Ley se establece que esos concretos Agentes que se ponen en contacto con el Ayuntamiento YYY para recabar datos vinculados a la tarjeta de estacionamiento del Sr. X están legitimados para ello sin que el Sr. X lo consienta?
El artículo 11.1 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999) establecía que los datos de carácter personal que son objeto de tratamiento (2) sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Exceptuaba, no obstante, las cesiones que tenían como destinatarios al Ministerio Fiscal o a los Jueces y Tribunales así como cualesquiera otras autorizadas por la Ley.
Y la misma Ley, en el artículo 22.2, afirmaba que la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales (3) .
Pudiera parecer claro, a simple vista, que esos Agentes que, requeridos por un particular, comienzan la investigación relativa a la falsedad de la tarjeta de estacionamiento están autorizados, por tanto, por la Ley y sin necesidad de cobertura de una autorización judicial para acudir al Ayuntamiento YYY con el fin de recabar ciertos datos obrantes en sus archivos.
No obstante la claridad meridiana del precepto, la Agencia Española de Protección de datos tuvo que emitir un importante Dictamen, el 0169/2009, en el que, planteándose la cuestión relativa a la cesión de datos del Padrón Municipal a la Guardia Civil o Policía Nacional concluye que el artículo antes citado «habilita, a las Fuerzas y Cuerpos de Seguridad del Estado a recabar y tratar datos de carácter personal sin consentimiento de los afectados únicamente cuando se cumplan las siguientes condiciones: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999 (LA LEY 4633/1999), los datos sean cancelados cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.» Ello, hemos de añadir conforme a la Jurisprudencia de nuestro Tribunal Constitucional, siempre que la cesión esté justificada y sea proporcionada.
En la práctica existían, no obstante, concretos supuestos en los que una previsión legal impedía el acceso a determinados datos a las Fuerzas Policiales o lo condicionaba.
Con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) se adapta a nuestro ordenamiento jurídico el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y se deroga la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999).
En el citado Reglamento (UE) 2016/679 (LA LEY 6637/2016) se dice que el tratamiento de datos resultaría lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales o cuando, entre otros supuestos exceptuados, dicho tratamiento fuera necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, esto es, en el caso que nos ocupa, cuando la Administración local viniera obligada a la cesión de los datos que se encuentran en su poder en virtud de lo dispuesto la Ley (artículo 9 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) en relación con el artículo 6.1.c)
Ahora bien, dicha Ley hace depender «los tratamientos» sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016) a una nueva regulación que no establece advirtiendo que, en consecuencia, dichos tratamientos «continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), y en particular el artículo 22, y sus disposiciones de desarrollo». (Disposición Transitoria 4ª)
Por tanto, hasta fechas recientes nuestros Agentes, en el momento de recabar la información solicitada al Ayuntamiento YYY seguían amparados en su actuación por lo dispuesto en la Ley Orgánica 15/1999 (LA LEY 4633/1999), ya derogada, a la espera de la trasposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016).
La Directiva citada «establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales» (artículo 1) asegurando que «se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para los fines mencionados, distintos de aquel para el que se recojan (como es nuestro caso) en la medida en que: a) el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el Derecho de la Unión o del Estado miembro, y b) el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión o del Estado miembro».
Pues bien, tras el dictado de la Sentencia del Tribunal de Justicia de la Unión Europea de 25 de febrero de 2021 (C-658/2019, Comisión Europea contra España) (4) , el legislador Español se decidió a promulgar la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Aquí sí, nuestro Ayuntamiento YYY actuará conforme a la Ley cuando, siempre mediando causa por delito (investigación policial apoyada en la presunta comisión de un delito de falsedad documental) facilite a las Fuerzas de Seguridad del Estado los datos obrantes en sus archivos y que, de forma motivada, le sean solicitados en relación con esa concreta investigación y a tal fin.
Y es que «las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas» (artículo 7.1)
Ello, eso sí, siempre que la solicitud fuera «motivada, concreta y específica, dando cuenta en todo caso a la autoridad judicial y fiscal» (5) .
Tal como sucedía bajo la legislación anterior, siguen existiendo excepciones a este régimen general pues las previsiones de esta Ley «no serán de aplicación (…) cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1». (artículo 7.3)
Así sucede, a mero título ejemplificativo, con las previsiones de los artículos 3 (LA LEY 10470/2007) y 4 de la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de Conservación de Datos Relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones (6) o del artículo 588 ter j) de la Ley de Enjuiciamiento Criminal (LA LEY 1/1882) cuando exigen autorización judicial para recabar datos conservados por operadoras de telefonía y que se hallen vinculados a comunicaciones o con Ley 41/2002 de 14 de noviembre (LA LEY 1580/2002) reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica que exige una autorización judicial para acceder a la historia clínica.
De la misma manera «la comunicación de datos, informes, antecedentes y justificantes por la Administración Tributaria, la Administración de la Seguridad Social y la Inspección de Trabajo y Seguridad Social, se efectuará de acuerdo con su legislación respectiva» (7) y «el tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para los fines previstos (…) se regirá por esta Ley Orgánica, sin perjuicio de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el procesal penal, la regulación del tráfico o la protección de instalaciones propias».
No existe disposición legal que excepcione del principio general el acceso a los datos personales obrantes en los archivos de las Entidades Bancarias siempre que la respectiva petición no suponga una injerencia grave
Por último decir que, a diferencia de otros sistemas de nuestro entorno, no existe disposición legal que excepcione del principio general el acceso a los datos personales obrantes en los archivos de las Entidades Bancarias siempre que la respectiva petición no suponga una injerencia grave y no autorizada en la intimidad de la persona afectada (8) .
En definitiva, actualmente, los Agentes de nuestro ejemplo, sin necesidad de acudir a la autoridad judicial, pueden ampararse en la citada normativa para dirigirse a cualquier persona jurídica, pública o privada, solicitando, en el ámbito de una investigación por delito, la cesión de datos personales sin consentimiento de su titular.
Y ello, al menos, hasta la entrada en vigor, llegado el caso, de la nueva Ley de Enjuiciamiento Criminal (LA LEY 1/1882), cuyo Anteproyecto se encuentra en trámite y cuyo artículo 515.1 faculta, únicamente, al Fiscal, previo dictado de un Decreto (con el contenido del artículo 515.2 del Anteproyecto) para requerir a los responsables del tratamiento, ya sean personas públicas o privadas, la cesión de datos personales incluidos en archivos o registros, siempre que el conocimiento de los mismos sea indispensable para el descubrimiento del hecho investigado.