Volver a página de inicio

I. Recordando el marco normativo

Como hemos expuesto en anteriores trabajos (1) , el marco normativo de la protección de datos en el medio penitenciario se encuentra articulado de modo complejo. De un lado, tenemos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (en adelante, RGDP); junto con la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (LOPDGDD (LA LEY 19303/2018)) (2) . De otro lado, aplica al ámbito penitenciario la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, que deroga la Decisión Marco 2008/977/JAI (LA LEY 19814/2008) del Consejo (en adelante, DPDP), y que ha sido implementada en nuestro ordenamiento a través de la LO 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (LOPDP).

En este contexto, dos son las ideas principales a considerar. Primero, la necesaria delimitación del régimen jurídico aplicable en cada caso (3) . Si bien, en general, no hay dudas sobre el tratamiento de determinados datos —los relativos a los funcionarios caen en la órbita del RGDP y la LOPDGDD (LA LEY 19303/2018); los de los internos en la de la DPDP (LA LEY 19814/2008) y la LOPDP—, lo cierto es que, cuando se desciende a la realidad práctica, observamos que muchos de esos tratamientos pueden considerarse híbridos. Por ejemplo, los datos de salud de las personas condenadas. Sin duda, se trata de datos obtenidos con motivo de la ejecución de una sanción penal, pero no podemos decir que la finalidad de su tratamiento esté siempre relacionada con la misma. Si decidimos aplicar a un interno un aislamiento provisional vía sanción disciplinaria, conocer su salud sí está directamente relacionado con la ejecución de la pena (4) . Sin embargo, si ese tratamiento de datos sanitarios se realiza con la misma finalidad que la de cualquier otro ciudadano —esto es, cuidar de la salud o llevar a cabo una determinada revisión—, aparecen indicadores claros que nos dicen que el objeto de ese tratamiento nada tiene que ver con la ejecución penal. Por tanto, no sirve hablar en términos generales, sino que lo propio es atender a los tratamientos específicos que en cada caso abordemos. Y dentro de los tratamientos de datos que refiramos, lo adecuado será analizar si los mismos —como en el de la salud de los internos— pueden tener fines diferentes y regímenes jurídicos diferentes, según cada supuesto. De este modo, un principio tan penitenciario como el de la individualización científica, que inspira y determina idealmente el cumplimiento de la condena, se torna también fundamental en materia de protección de datos (5) .

En segundo lugar, en concreto para el espacio abarcado por la DPDP (LA LEY 19814/2008) y la LOPDP, es importante destacar que la equiparación del régimen jurídico que aplica al tratamiento de los datos relativos a la ejecución de la condena y los tratados con fines policiales, no supone la equiparación de sus finalidades. Nada tienen que ver entre sí (6) . De ahí la importancia que adquiere la interpretación que le demos al artículo 6 de la LOPDP sobre los principios relativos al tratamiento de datos personales en relación con la actividad penitenciaria. Por ello, introducimos a continuación, el referido artículo 6, para después analizar con mayor detenimiento, el régimen jurídico que aplica a las personas privadas de libertad en relación a aquellos datos que se obtienen de manera directamente relacionada con la ejecución de la condena. Todo ello buscando su necesaria delimitación y diferenciación de la función meramente policial del tratamiento de datos personales.

II. Principios de tratamiento y cesiones de datos de las personas privadas de libertad

Si atendemos al contenido del artículo 6 de la LOPDP: «1. Los datos personales serán: a) Tratados de manera lícita y leal. b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines. c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados. d) Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación indebida, los datos personales que sean inexactos con respecto a los fines para los que son tratados. e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados. f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas». De los diferentes fines posibles del tratamiento de datos que recaen en este ámbito jurídico —letra b) de este artículo 6, en relación con del artículo 1 de la LOPDP (7) , que aborda su objeto—, el tratamiento de datos de la Administración Penitenciaria se circunscribe a la ejecución de sanciones penales en el sentido específico que determina el artículo 1 de la LOGP (LA LEY 2030/1979). En concreto, «las Instituciones penitenciarias reguladas en la presente Ley tienen como fin primordial la reeducación y la reinserción social de los sentenciados a penas y medidas penales privativas de libertad, así como la retención y custodia de detenidos, presos y penados. Igualmente tienen a su cargo una labor asistencial y de ayuda para internos y liberados».

Avanzando en el contenido del artículo 6, es fundamental destacar que las cesiones de datos personales que se producen desde el medio penitenciario han de tener un encaje normativo específico dentro de las posibilidades que prevé la norma. Así, se distinguen dos supuestos básicos de cesión. En primer lugar, de acuerdo con el artículo 6.2 de la LOPDP, «los datos personales recogidos por las autoridades competentes no serán tratados para otros fines distintos de los establecidos en el artículo 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por la legislación española. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento General de Protección de Datos (LA LEY 6637/2016) y la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea». Como vemos, se trata de casos en que se piden datos de personas privadas de libertad por autoridades diferentes a las del artículo 1 LOPDP —es decir, no policiales— y que sólo se pueden ceder si concurren los requisitos de los artículos 6 (LA LEY 19303/2018) y 8 LOPDGDD (LA LEY 19303/2018) —consentimiento expreso o norma legal que prevea y fundamente la cesión (8) —. Esto es, el régimen de la LOPDP nos lleva al más estricto y garantista del RGDP y la LOPDGDD (LA LEY 19303/2018).

En segundo lugar, conforme al artículo 6.3 de la LODPD, «los datos personales podrán ser tratados por el mismo responsable o por otro, para fines establecidos en el artículo 1 distintos de aquel para el que hayan sido recogidos, en la medida en que concurran acumulativamente las dos circunstancias siguientes: a) Que el responsable del tratamiento sea competente para tratar los datos para ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española. b) Que el tratamiento sea necesario y proporcionado para la consecución de ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española». La norma se refiere a supuestos en que una autoridad de las del artículo 1 de la LOPDP cede datos a otra autoridad de las incluidas en el mismo precepto, para fines que no son los habitualmente propios —nos sirve como ejemplo el caso en que la Administración Penitenciaria cede a un cuerpo policial un dato recabado inicialmente para la ejecución penal—. Como se deriva del precepto, los requisitos para proceder a la cesión son menos rigurosos, pues no se aplica el régimen de la LOPDGDD (LA LEY 19303/2018), sino que basta con que se den las condiciones previstas en la propia LOPDP, aunque con carácter acumulativo.

En aplicación de la norma, podemos decir que las cesiones de datos de personas privadas de libertad han de analizarse siempre caso por caso, con dos fines concretos. El primero, determinar en cuál de los supuestos del artículo 6 de la LOPDP nos encontramos y, por ende, el régimen jurídico concreto que aplica —LOPDGDD (LA LEY 19303/2018) frente a LOPDP—. El segundo, valorar, dentro del supuesto que se trate y con ese carácter lo más individualizado posible, si la cesión que nos solicitan cumple los requisitos legales establecidos para proceder a la misma. Y todo ello, limitando las cesiones a lo mínimo necesario, con la comprensión de que los tratamientos de datos de carácter especial —entre los que se incluyen los informes psicológicos (9) — habrán de ser específicamente valorados conforme a los criterios más estrictos y determinados que contempla el artículo 13 de la LOPDP (10) . Criterios que nos devuelven a la necesaria individualización penitenciaria (11) , no sólo relevante a efectos de clasificación y tratamiento penitenciario, sino también en el tratamiento específico de los datos personales de quienes se encuentran privados de libertad (12) .

Por último, el precepto que comentamos cierra con dos apartados más generales que aplican a todo tratamiento de datos. Así, el apartado 4 sobre la aplicación de la normativa de archivo, establece que «el tratamiento por el mismo responsable o por otro podrá incluir el archivo por razones de interés público, y el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, con sujeción a las garantías adecuadas para los derechos y libertades de los interesados». Por su parte, el apartado 5, como consecuencia del principio de tratamiento proactivo y responsable, determina que «el responsable del tratamiento deberá garantizar y estar en condiciones de demostrar el cumplimiento de lo establecido en este artículo».

III. Artículo 6 apartado 3 versus artículo 7 de la LOPDP

Como acabamos de ver, el artículo 6.3 de la LOPDP contempla los supuestos en que una autoridad de las del artículo 1 de la LOPDP cede datos a otra autoridad de las incluidas en el mismo precepto, para fines que no son los propios. En estos casos, no se aplica el régimen más riguroso de la LOPDGDD (LA LEY 19303/2018), sino que basta con que se den las condiciones previstas en la propia LOPDP, aunque con carácter acumulativo. El problema que ahora planteamos es su diferenciación del artículo 7 de la misma LOPDP, que aborda el deber de colaboración, en supuestos de petición de datos cualificada por parte de las Fuerzas y Cuerpos de Seguridad cuando ejercen funciones de policía judicial. De acuerdo con el mismo: «1. Las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas. La petición de la Policía Judicial se deberá ajustar exclusivamente al ejercicio de las funciones que le encomienda el artículo 549.1 de la Ley Orgánica 6/1985, de 1 de julio (LA LEY 1694/1985) (13) y deberá efectuarse siempre de forma motivada, concreta y específica, dando cuenta en todo caso a la autoridad judicial y fiscal. La comunicación de datos, informes, antecedentes y justificantes por la Administración Tributaria, la Administración de la Seguridad Social y la Inspección de Trabajo y Seguridad Social, se efectuará de acuerdo con su legislación respectiva. 2. En los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que estos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. La petición de la autoridad competente deberá ser concreta y específica y contener la motivación que acredite su relación con los indicados supuestos. 3. No será de aplicación lo dispuesto en los apartados anteriores cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1. 4. En los supuestos contemplados en los apartados anteriores, el interesado no será informado de la transmisión de sus datos a las autoridades competentes, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, a fin de garantizar la actividad investigadora. Con el mismo propósito, los sujetos a los que el ordenamiento jurídico imponga un deber específico de colaboración con las autoridades competentes para el cumplimiento de los fines establecidos en el artículo 1, no informarán al interesado de la transmisión de sus datos a dichas autoridades, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, en cumplimiento de sus obligaciones específicas».

En este punto, es de nuevo el caso a caso, el que ha de determinar la línea de actuación a seguir. Sin embargo, asumiendo la necesaria perspectiva individualiza en el abordaje de cada supuesto, sí que creemos fundamental partir de una delimitación previa fundamental de la vía de colaboración cualificada del artículo 7 de la LOPDP, de la otra vía de trasmisión de datos que prevé el artículo 6.3 del mismo texto normativo. Para ello, dos son los criterios que parecen desprenderse de la norma. En primer lugar, y a pesar de la amplitud con que se expresa el apartado 2 del artículo 7 de la LOPDP, los supuestos de colaboración cualificada con las Fuerzas y Cuerpos de Seguridad parten de una petición concreta de éstas, en relación a una investigación concreta, individualizada e identificada que vienen desarrollando y para la que el dato a ceder se torna necesario. En segundo lugar y en consecuencia, parece que, en estos casos de colaboración cualificada, los fines del artículo 1 de la LOPDP de «prevención, detección, investigación y enjuiciamiento de infracciones penales (…) incluidas la protección y prevención frente a las amenazas contra la seguridad pública» prevalecen justamente por el hecho anterior: ser necesario el dato que se solicita por su relevancia y relación con una investigación concreta, justificándose de este modo la necesidad y la proporcionalidad de la cesión. Frente a ello, la realidad que abarca el artículo 6.3 de la LOPDP es mucho más amplia y por ello, requiere de un juicio de legalidad, necesidad y proporcionalidad específico que ubique esta posibilidad normativa y evite cometer excesos en la cesión de datos penitenciarios para fines policiales (14) . Dedicamos los siguientes apartados de este trabajo a tratar de delimitar su aplicación a través de ejemplos extraídos de la práctica penitenciaria.

IV. La dudosa cesión de datos tratamentales bajo el paraguas del artículo 6.3 LOPDP

De no concurrir los requisitos para aplicar el artículo 7 de la LOPDP, nos preguntamos ahora sobre qué datos penitenciarios, conforme al artículo 6.3, en relación con el artículo 1 de la LOPDP (15) , pueden ser cedidos con fines de «prevención, detección, investigación y enjuiciamiento de infracciones penales (…), incluidas la protección y prevención frente a las amenazas contra la seguridad pública». Vemos que para el artículo 6.3 de la LOPDP basta con que «a) el responsable del tratamiento sea competente para tratar los datos para ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española. b) el tratamiento sea necesario y proporcionado para la consecución de ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española». Sin embargo, la rebaja de garantías que supone el precepto en relación al régimen de la LOPDGDD (LA LEY 19303/2018) no puede suponer una cesión generalizada de datos penitenciarios con fines policiales. Varios son los criterios que creemos que son claros al respecto.

Desde un punto de vista general, como primer criterio, y tal y como hemos adelantado, es fundamental aplicar los principios de legalidad, proporcionalidad y necesidad —el propio artículo 6.3 de la LOPDP así lo contempla— y recordar la reciente jurisprudencia del TC sobre la restricción de derechos fundamentales en el medio penitenciario (16) . A su vez, como segundo criterio a considerar, y a modo de concreción del anterior, si atendemos a lo que ahora nos interesa del contenido del apartado 1 de ese mismo artículo 6 de la LOPDP, se nos indica que «los datos personales serán: a) Tratados de manera lícita y leal. b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines. c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados (…)». Por tanto, la función de la Administración Penitenciaria del artículo 1 de la LOGP (LA LEY 2030/1979) —recordemos que «las Instituciones penitenciarias reguladas en la presente Ley tienen como fin primordial la reeducación y la reinserción social de los sentenciados a penas y medidas penales privativas de libertad, así como la retención y custodia de detenidos, presos y penados. Igualmente tienen a su cargo una labor asistencial y de ayuda para internos y liberados»— es la que ha de definir principalmente el tratamiento de datos que ésta realice, sin que las cesiones que lleve a cabo en función del apartado 3 del artículo 6 de la LOPDP puede pervertirla o perjudicarla. De este modo, para una solución adecuada de los supuestos que se presenten, habrá que estar a las especialidades que la normativa penitenciaria contempla. Sólo así podrá evitarse que la normativa en protección de datos desvirtúe los principios internos que definen la actuación penitenciaria. El principio de voluntariedad del tratamiento nos sirve de matriz en torno a la que movernos (17) .

Regulado en el artículo 112 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba el Reglamento Penitenciario (LA LEY 664/1996) (RP) determina en su apartado 3 que «el interno podrá rechazar libremente o no colaborar en la realización de cualquier técnica de estudio de su personalidad, sin que ello tenga consecuencias disciplinarias, regimentales ni de regresión de grado». Aplicando dicho principio al artículo 6.3 de la LOPDP, dudamos de que el no ejercicio de un derecho —la negativa de una persona privada de libertad a realizar el tratamiento penitenciario— pueda ser valorado como factor per se desfavorable, por ejemplo, en instrumentos de valoración del riesgo policiales. Además de los múltiples matices que concurren en cualquier realidad delictiva, la posibilidad de ejercer o no un derecho libremente dejaría de existir ab initio.

A su vez, cualquier traslado a nivel policial de lo abordado en una terapia supone tener que cumplir con el derecho-deber de información a las personas privadas de libertad (18) . Aspecto éste que, por pura lógica, comprometería la relación terapéutica establecida —cualquier persona no se expresa igual si sabe que sus datos pueden ser cedidos con fines que van más allá del desarrollo de la relación terapéutica en la que participa—. Ciertamente, en una interpretación amplia de las posibilidades limitadoras del derecho de información en protección de datos (19) , parece que podría no informarse a las personas privadas de libertad de la cesión policial de lo dicho en una terapia. Sin embargo, creemos que concurren motivos jurídicos cualificados que anulan esta posibilidad. En primer lugar, desde la estricta lógica jurídica y por comparativa entre preceptos consecutivos, vemos que el artículo 7 de la LOPDP permite trasladar información concreta solicitada por un cuerpo policial sin dar noticia al sujeto afectado (20) . Si esto es posible en los supuestos de cesiones cualificadas del artículo 7, parece que no resulta proporcionado aplicar el mismo régimen de reducción de garantías para los casos que puedan caber dentro del artículo 6.3 que ahora comentamos. Se establecería el mismo régimen de cesión de datos, cuando la norma parte de su clara diferenciación. En segundo lugar, trascendiendo lo meramente jurídico, se trataría de una interpretación engañosa para el ciudadano privado de libertad, que no tiene en cuenta la necesaria confianza terapéutica que debe existir tanto dentro como fuera del medio penitenciario, cuando se establece una intervención psicológica del tipo que sea. La confianza terapeuta-paciente se vería viciada y anulada desde el inicio. En definitiva, valorando la cesión de datos tratamentales para fines policiales bajo el paraguas del artículo 6.3 de la LOPDP, llegaríamos a un punto diabólico. Si cedemos datos, hemos de informar a persona tratada y, por tanto, se rompe la relación de confianza terapéutica. Si para superar este escollo, no informamos de dicha cesión, se contraviene la norma y, además, se rompe la confianza inicial terapeuta-paciente que partiría del engaño.

Pero yendo más allá de lo anterior, y en la misma línea de argumentación jurídica contraria a aplicar el artículo 6.3 de la LOPDP para cesiones policiales de datos tratamentales, hay que recordar que muchos de los datos vertidos en una terapia recaen fácilmente en el ámbito de los datos de carácter especial y, por tanto, para su cesión y tratamiento sería necesario satisfacer los requisitos más estrictos del artículo 13 de la LOPDP. Finalmente, y para cerrar, proponemos ir a lo sencillo. Muchas veces nos embarcamos en discusiones bizantinas sin ver primero la lógica de lo que discutimos. En este sentido, quien conozca el medio penitenciario mínimamente, sabe por propia experiencia que lo que se vierte en un medio cerrado, bajo las presiones y circunstancias que una institución cerrada conlleva, difícilmente es trasladable a un medio social normalizado y de plena libertad. De hecho, ahí radica una de las mayores limitaciones de la intervención y el trabajo penitenciarios: que se lleva a cabo en espacios artificiales de encierro. Por ello, nos preguntamos por el sentido de conocer lo que se vierte en terapia para fines que van más allá de la ejecución penal. Sin duda, la información penitenciaria puede servir para contribuir a informes de peligrosidad futura. Sin embargo, creemos sinceramente que, además de los reparos ya expuestos, su validez estará también ab initio viciada por esa diferente naturaleza del medio y las circunstancias en que las informaciones se vierten y expresan. Lo que se dice dentro, no siempre es válido fuera. Y viceversa.

V. Si no se pueden ceder datos tratamentales ¿qué se puede ceder dentro del artículo 6.3?

Siguiendo la lógica que defendemos, ¿qué datos penitenciarios se pueden ceder con finalidad policial, bajo el paraguas del artículo 6.3 LOPDP, una vez vetados los de tratamiento? Pensamos en peticiones de datos habituales en la práctica, que no cuentan con el respaldo cualificado que prevé el artículo 7 de la LOPDP, cuya cesión, sin embargo, puede resultar proporcionada. Por ejemplo, preguntas sobre si una persona ha disfrutado de permiso durante unos días concretos. En este punto, es importante establecer una diferencia importante con peticiones de información que van más allá de la lógica que tratamos de establecer y que dan lugar a investigaciones prospectivas y como tal prohibidas (21) . Y es que no es lo mismo responder a si una persona concreta ha disfrutado de permiso durante unas fechas concretas, que responder a la pregunta de qué internos han estado de permiso durante un período de tiempo, aunque este sea concreto. Si lo primero parte de hechos concretos que dirigen la atención de una investigación hacia una persona determinada, lo segundo supone partir del prejuicio de que los delitos cometidos durante un período de tiempo han podido ser llevados a cabo por quienes se encontraban de permiso.

Por último, aceptando cesiones limitadas de datos penitenciarios con fines policiales, como las resultantes del caso anterior, pensamos igualmente, si no estamos errando el tiro. Esto es, si el principal ámbito de aplicación del artículo 6.3 LOPDP no será el de intercambio de datos entre cuerpos policiales sin participación de la Administración Penitenciaria. Teniendo en cuenta la multitud de fuerzas policiales, nacionales y autonómicas, que confluyen en el ámbito de actuación nacional, creemos que el artículo 6.3 de la LOPDP debiera centrarse en articular una buena coordinación entre las mismas, dejando al margen a la Administración Penitenciaria. Sólo así se podrá evitar una confusión de roles que estará asegurada, si se parte de la premisa contraria.

(*) Así se desprende del estudio realizado por MARTÍNEZ GARAY, L. (Coord.), Three predictive policing approaches in Spain: Viogén, RisCanvi and Veripol. Assessment from a human rights perspective, Universidad de Valencia, 2022.

(**) El mero hecho de que la SG.II.PP. esté ubicada en el Ministerio de Interior y no en el seno del Ministerio de Justicia, supone una anomalía en los países de nuestro entorno europeo. De ahí que sea todavía más necesario clarificar los límites para la actuación entre los órganos de ejecución de las sanciones penales y los de investigación policial.