Derecho a la protección de Datos. La nueva Ley Orgánica 7/2021.
El día 27 de mayo del presente año el BOE número 126 publicó la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta Ley es la transposición al derecho español de la Directiva UE 2016/680, que establece una regulación especial en el tratamiento de datos personales, un régimen específico que difiere, en aspectos importantes, del régimen general establecido por el Reglamento UE 2016/679 (RGPD), incorporado al Derecho interno, y complementado en España con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos de carácter personal y de los Derechos Digitales. Aunque en otros aspectos, como en el supuesto que motiva este artículo, simplemente, ratifica y aclara la obligación de colaborar con la Policía, aunque añadiendo un régimen sancionador más grave que el anterior, en caso de incumplimiento.
Como es sabido, el derecho a la protección de datos constituye un derecho fundamental garantizado por el artículo 18.4 de la Constitución (CE). El derecho implica el poder de control que tiene toda persona física sobre sus datos personales, cualesquiera datos personales (los que figuran en el DNI, la imagen personal, las huellas dactilares, el ADN, el número de la cuenta corriente, etc.) y la facultad para decidir sobre su uso o destino para evitar el tráfico ilícito de los mismos o un uso lesivo para la dignidad y los derechos fundamentales. En nuestro Ordenamiento, para dar cumplimiento a lo establecido en la citada disposición constitucional, se aprobó, en un primer momento, la Ley Orgánica 5/92, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal.
Para superar las limitaciones de esta Ley -solamente se refería al tratamiento automatizado de datos derivado del uso de la informática y la regulación iba enfocada a proteger los perjuicios que pudieran derivarse del uso de los datos para los restantes derechos fundamentales del art. 18, fundamentalmente el derecho a la intimidad personal y familiar-, (y de acuerdo con las directrices de la Directiva 95/46/CE, que amplió la protección al tratamiento no automatizado y vino a deslindar el derecho a la protección de datos del derecho a la intimidad en el marco de un concepto más amplio como es el derecho a la privacidad), se aprobó la Ley Orgánica 15/99, de Protección de Datos de carácter personal, que supuso la consolidación del derecho a la protección de datos como derecho autónomo del derecho a la intimidad, sin perjuicio de que el tratamiento de determinada información pueda perjudicar también el derecho a la intimidad. Hoy en día, la Jurisprudencia del Tribunal Constitucional considera que todos los derechos del artículo 18 de la Constitución (CE), incluido el derecho a la protección de datos, son derechos autónomos sin perjuicio de que determinadas conductas puedan comprometer dos o más derechos fundamentales.
Vigilantes de Seguridad
Ofrecemos servicios a medida, según tus necesidades, con vigilantes de seguridad especializados en diversas áreas de la seguridad privada y con conocimientos de distintos idiomas. Implementamos nuestras soluciones de seguridad en tiempo récord. Además te asesoramos y ayudamos con las planificación y gestión de tu proyecto.
Esta Directiva Europea fue derogada por el Reglamento UE 2016/679 del Parlamento y del Consejo Europeo, de 27 de abril de 2016 (RGPD). El Reglamento europeo, de aplicación directa y general en todos los países de la Unión Europea, entró en vigor el 25 de mayo de 2016, aunque comenzó a aplicarse el 25 de mayo de 2018. Para dar cumplimiento de manera provisional al mandato europeo se aprobó el Decreto-Ley 5/2018, de 27 de abril, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de Datos. Finalmente, las Cortes Generales aprobaron la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y de los derechos digitales. La nueva Ley Orgánica entró en vigor el mismo día de su publicación en el BOE 294, el 6 de diciembre de 2018.
La regulación del derecho a la protección de datos tiene un carácter general y protege los datos de carácter personal de las personas físicas cualquiera que sea su nacionalidad o su residencia dentro de la Unión Europea. Por tanto, no protege a las personas jurídicas (empresas, entidades mercantiles, fundaciones, asociaciones, etc.), y así lo recoge el propio artículo 14 del RGPD.
El derecho a la protección de datos protege a las personas físicas de cualquier tratamiento de sus datos por parte de entidades privadas (un banco, una empresa, etc.) o públicas (cualquier órgano de las Administraciones públicas) de forma ilegítima o abusiva, entendiendo por tratamiento cualquier operación o procedimiento técnico, automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y la supresión o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
El titular de los datos se denomina afectado o interesado; y la entidad o persona que realiza operaciones de tratamiento, responsable del tratamiento. A su vez, la persona física o jurídica, pública o privada, que trate datos personales por cuenta del responsable del fichero, se denomina encargado del tratamiento. Para que éste pueda realizar tales operaciones debe existir una relación jurídica con el responsable del tratamiento (por ej. Un contrato de arrendamiento de servicios).
Por dato de carácter personal se entiende toda información relativa a personas físicas identificadas o identificables que aparezcan registrados en cualquier soporte físico (fichero), automatizado o no, ya sea de entidades privadas o públicas, que permita su tratamiento y su posterior uso por el sector público (las administraciones públicas) o privado. Se consideran datos personales: los datos del DNI, pero también cualquier otro mediante el que pueda determinarse, directa o indirectamente, la identidad de la persona, en particular mediante un identificador como por ej. el NIF, la huella dactilar, el ADN, el número de la seguridad social, la imagen personal, entre otros.
El tratamiento de datos personales se basa en una serie de principios derivados la naturaleza de un derecho fundamental basados en el principio de proporcionalidad que implica que deben ser recogidos para una finalidad explícita, determinada y legítima, y, además, deben ser adecuados, pertinentes y limitados, no excesivos, a la finalidad perseguida. También deben ser exactos; no deben ser mantenidos más del tiempo estrictamente necesarios para los fines del tratamiento y con las necesarias medidas de seguridad para evitar el tratamiento no autorizado ilícito o su pérdida, destrucción o daño accidental.
En todo caso, para que pueda realizarse cualquier operación de tratamiento es necesario que exista legitimación de manera que el tratamiento solamente será licito si se da alguna de las circunstancias que recoge el artículo 6 del RGPD: consentimiento del interesado; cuando sea necesario para ejecutar un contrato; cuando sea necesario para que el responsable cumpla con una obligación legal; cuando sea necesario para proteger un interés vital del interesado u otra persona; cuando el tratamiento sea necesario por interés público o sea realizada en el ejercicio de los poderes públicos conferidos al responsable del tratamiento o cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.
Una novedad del RGPD es que el consentimiento del interesado que obviamente es libre, informado y revocable, debe ser inequívoco, salvo que la ley disponga otra cosa, lo que significa que implique “una manifestación del interesado o mediante una clara acción en sentido afirmativo”, lo que ha venido a descartar el denominado “consentimiento tácito o por omisión” puesto que se basan en la inacción.
En el momento de recoger los datos y una vez recogidos por el responsable del tratamiento, e incluso antes en base a lo que el Reglamento denomina responsable proactiva, el responsable debe realizar un previo análisis de riesgos para poder adoptar las medidas de seguridad organizativas o técnicas necesarias para garantizar la seguridad de los datos. Además, el responsable del tratamiento está sujeto a una serie de obligaciones para con el afectado o interesado como es el deber de información, de forma clara, precisa y accesible, que debe contener todos los elementos que detalla el artículo 13 del RGPD.
Es tan amplia la información que se debe facilitar al interesado que la propia Agencia de Protección de Datos permite lo que se denomina la información por fases o por capas: una primera y básica que debe contener los datos del responsable, los datos, en su caso, del Delegado de protección de Datos, los fines a los que se destinan y las posibles cesiones de los mismos; y una segunda fase, que puede hacerse a través de una página web o por correo, que debe contener el plazo durante el que se conservarán, el ejercicio de los derechos de acceso, rectificación o supresión, a la limitación del tratamiento, el derecho de oposición y el de portabilidad de los datos, entre otros. Sin perjuicio del derecho a formular reclamación o denuncia ante la Autoridad de Control española que es la citada Agencia Española de Protección de Datos, teniendo en cuenta también la existencia de autoridades autonómicas encargadas de vigilar el cumplimiento de la normativa de protección de datos dentro de sus respectivas competencias.
Los datos recogidos y tratados deben ser los estrictamente necesarios (principio de proporcionalidad), no pueden utilizarse para otra finalidad que la que justificó su tratamiento, salvo consentimiento, y deben ser conservados durante el tiempo estrictamente necesario para la finalidad declarada. En cualquier caso, deben ser exactos y actuales. En caso contrario, si no pueden ser corregidos deben ser suprimidos.
Los interesados tienen, como es lógico, reconocidos los derechos de acceso, de rectificación, supresión, de limitación del tratamiento, entre otros. Y, en todo caso, la protección de la Agencia Española de Protección de Datos (AEPD), como Autoridad estatal en la materia.
Directiva UE/2016/380, sobre tratamiento de datos con fines de investigación criminal.
El RGPD que, como se ha señalado, es de aplicación general, mantiene, al igual que la normativa anterior, alguna excepción a su aplicación. En concreto, la prevista en la propia normativa europea, en la Directiva UE/2016/380, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Esta Directiva derogó la anterior Decisión Marco 2008/977/JAI. La Directiva UE/2016/380 ha sido transpuesta al derecho interno mediante la Ley Orgánica 7/2021, de 26 de mayo, que hemos indicado al inicio de la exposición.
La referida excepción viene establecida en el artículo 2.2 d) del RGPD, donde se dispone que el Reglamento General no es de aplicación al tratamiento de datos personales por parte de autoridades competentes con fines de prevención e investigación criminal, incluida la protección frente a las amenazas para la seguridad pública. La no aplicación de la normativa general ya venía recogida en la legislación anterior (la Directiva 95/46/CE, y en la legislación española que la transpuso, la Ley Orgánica 15/99).
En efecto, el artículo 22 de la derogada Ley Orgánica 15/99 excluía de su ámbito de aplicación los ficheros de datos de las Fuerzas y Cuerpos de Seguridad con fines de prevención de amenazas para la seguridad y los relativos a la investigación criminal o prevención de infracciones penales.
Además, el artículo 2 de la misma Ley también excluía de su ámbito de aplicación los ficheros sobre investigación del terrorismo y el crimen organizado, además de los ficheros de videovigilancia que se remitían a la legislación específica, concretamente a la Ley Orgánica 4/1997, de 4 de agosto, sobre el uso de videocámaras por las Fuerzas y Cuerpos de Seguridad. Por otra parte, su artículo 11 excluía de la necesidad del consentimiento la cesión de datos a las Fuerzas y Cuerpos de Seguridad cuando su destinario final era la Autoridad Judicial o el Ministerio Fiscal, es decir cuando eran obtenidos con fines de investigación criminal.
Pues bien, la misma excepción contiene ahora el RGPD, como se ha indicado, y de ahí la aprobación de la citada Directiva UE/2016/680. Hasta su transposición por la Ley orgánica 7/2021, ahora aprobada, la propia Ley Orgánica 3/2018 de Protección de Datos y Derechos Digitales. en su Disposición Transitoria cuarta, estableció que, mientras no se llevara a cabo dicha transposición continuarían vigentes las disposiciones de la Ley Orgánica 15/99, especialmente su artículo 22, en lo referido a los ficheros de las Fuerzas y Cuerpos de Seguridad con fines de lucha contra la criminalidad y la prevención de amenazas para la seguridad; y su artículo 22.6, en relación a la videovigilancia por razones de seguridad pública, también establece que cuando su fines sean os citados se regirá por las disposiciones de la Directiva UE/2016/680, y que fuera de esos casos se regirá por su legislación específica ( La Ley Orgánica 4/99) y, supletoriamente, por las disposiciones del RGPD.
Con la aprobación de la Ley Orgánica 7/2012 que comentamos y que no entrará en vigor hasta los veinte días contados desde su publicación ( el 27 de mayo), se culmina el proceso previsto en la legislación europea y se unifica el tratamiento de datos policiales con fines de investigación del terrorismo y el crimen organizado, ampliando su ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de cooperación policial y judicial penal, para facilitar la cooperación y transmisión de información de carácter personal entre los servicios policiales y judiciales de los demás países, como respuesta ineludible a las crecientes amenazas para la seguridad, especialmente del terrorismo y el crimen organizado, cuyo componente transfronterizo es evidente.
Es decir que se trata de facilitar la cooperación policial compartiendo información operativa, en tiempo real si es preciso, como vía eficaz para la prevención y la lucha contra amenazas graves para la seguridad derivadas del terrorismo y el crimen transnacional, sin perjuicio de que tal cooperación se realice en un marco que respete los principios democráticos y la seguridad de las personas y de sus derechos, en particular del derecho a la protección de sus datos personales.
Por eso, la propia Ley Orgánica, en su artículo 1, referido a su objeto, dispone que lo que pretende es establecer las normas relativas a la protección de datos de las personas físicas en lo referido al tratamiento de estos por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública. Su ámbito de aplicación incluye el tratamiento de datos, automatizado o no, incluidos en ficheros realizados por las autoridades competentes realizados con los citados fines.
Quedan fueran de su regulación, por tanto, los ficheros creados con otros fines que se regirán por las previsiones del RGPD, así como por la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales; y los sometidos a la normativa de materias clasificadas entre los que se encuentran los relativos a la lucha contra el terrorismo y las formas graves de delincuencia organizada, sin perjuicio de la obligación de comunicar su existencia a la Autoridad de control, esto es, a la Agencia Española de Protección de Datos.
Licitud del tratamiento por las Autoridades competentes a los fines previstos en la Ley.
El tratamiento de datos personales solamente será lícito si tiene como fines los señalados anteriormente y se realiza por una autoridad competente en el ejercicio de sus funciones. Por eso, es importante el artículo 4 de la nueva Ley Orgánica donde se define qué se entiende por “Autoridades competentes” a efectos de esta Ley. Según la disposición, es “autoridad competente”, a efectos de la ley, “toda autoridad que tenga competencias encomendadas legalmente para el tratamiento de datos personales con alguno de los fines previstos en el artículo 1”. Y en particular lo son:
- Las Fuerzas y Cuerpos de Seguridad (FCS).
- Las Administraciones penitenciarias.
- El servicio de Vigilancia aduanera de la Agencia Tributaria.
- El servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones monetarias.
- La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
- Autoridades Judiciales del ámbito penal y el Ministerio Fiscal.
Los principios por los que se debe regir el tratamiento de estos datos por las Autoridades competentes siguen las reglas generales: licitud y lealtad; para fines determinados legítimos y explícitos; adecuados, pertinentes y no excesivos para los fines que justifican el tratamiento; exactos y actualizados; conservación por el tiempo necesario y tratados de forma que se garantice su seguridad para evitar el tratamiento ilícito o no autorizado y para evitar su pérdida, destrucción o daño accidental.
Deber de colaboración de los ciudadanos con las Fuerzas y Cuerpos de Seguridad.
Otro principio general, que es el que hace referencia al título del artículo, y que es esencial para la actuación de las Fuerzas y Cuerpos de Seguridad en su lucha contra la criminalidad es el del deber de colaboración de todos los ciudadanos, personas físicas o jurídicas, incluidas las administraciones públicas con las autoridades competentes incluyendo a la Policía Judicial, de manera que todos ellos están obligados a facilitarles cualquier dato, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales, previa petición concreta y específica de la Policía, salvo que sea precisa autorización judicial, como es el supuesto de que los datos afecten al secreto de las comunicaciones ( Art. 7 de la nueva Ley).
A este respecto, debemos recordar que el deber general de colaboración con las FCS ya venía establecido en la normativa anterior, como vimos; deber que tiene su fundamento en el deber general de colaboración con las FCS establecido en el artículo 4 de la Ley Orgánica 2/86, de FCS, y en el artículo 7 de la Ley Orgánica 4/2015, de Protección de la Seguridad Ciudadana. Pero, al mismo tiempo, hay que señalar que el propio artículo 7 de esta Ley establece la misma obligación, pero en base a un deber especifico de colaboración similar al que el ordenamiento jurídico impone a determinadas personas y entidades en otras disposiciones legales.
En concreto, la legislación vigente establece la obligación especial y específica de colaboración que tiene el personal de seguridad privada y las empresas de seguridad, además de los despachos de investigación privada con las FCS. Dicho deber viene impuesto por las disposiciones señaladas anteriormente (art. 4.2 de la Ley Orgánica 2/82, y art. 7.3 de la Ley Orgánica 4/2015), remitiéndose además ésta última a lo establecido en la Ley 5/2014, de Seguridad Privada.
En la Ley de Seguridad privada se establece, de forma expresa, en su artículo 8.3 y artículo 14 esencialmente, la obligación especial que tiene el sector de seguridad privada de auxiliar y colaborar con las FCS, en todo momento, en su labor de prevención y garantía de la seguridad pública y en la investigación delictiva.
Es más, el propio artículo 15 de la Ley de Seguridad Privada autoriza, a las empresas de seguridad y al personal de seguridad, expresamente, la cesión de datos a las FCS que se consideren necesarios para contribuir a la salvaguarda de la seguridad ciudadana; e incluso el acceso a los sistemas de las empresas para comprobar, en tiempo real, las informaciones cuando sea necesario para prevenir un peligro o amenaza para la seguridad pública o para la represión de infracciones penales.
La regla establecida en la nueva Ley Orgánica es que, en uno u otro caso, es decir bien proceda la cesión de datos de un ciudadano o de una empresa, o entidad pública, o bien de una empresa de seguridad, del personal de seguridad o de los despachos de detectives privados, los cedentes están expresamente obligados a no informar al titular de los datos cedidos o interesados, ni de haber facilitado el acceso a los mismos, a fin de garantizar la confidencialidad y secreto de la actividad investigadora (Art. 7.4 de la Ley Orgánica 7/2021).
Es decir, que existe una obligación especifica de facilitar a las Fuerzas y Cuerpos de Seguridad los datos que soliciten (incluyendo las imágenes del sistema de videovigilancia – respecto a la vigilancia por las FCS a los fines de la nueva Ley, se establece una regulación específica que será objeto de otro estudio) cuando realicen labores de investigación delictiva o sea necesario para garantizar la seguridad pública, ante una amenaza o riesgo grave que la ponga en peligro. El propio precepto (Art. 7 de la nueva Ley) establece que la petición policial será motivada y concreta, sin perjuicio de que deban dar cuenta posteriormente a la Autoridad Judicial. Se entiende que la petición debe ser escrita, salvo razones de urgencia, y que, en todo caso, se debe dejar constancia de la identidad profesional de los agentes y de la unidad policial actuante.
Lo establecido anteriormente no sería de aplicación, como se ha indicado, si para obtener los datos es necesario una autorización judicial. Es el caso, de los datos de los derivados de las comunicaciones (telefónicas, postales, redes o aplicaciones de comunicación, etc.) que, por afectar al secreto de las comunicaciones (Art. 18.3 de la Constitución) siempre es necesaria el mandamiento judicial razonado. El procedimiento que se debe seguir en este caso, para ceder los datos a la Policía es el establecido en la Ley Orgánica 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y redes públicas de comunicación, y el establecido en la Ley de Enjuiciamiento Criminal, tras la reforma llevada a cabo por la Ley Orgánica 13/2015, que vino a establecer determinadas garantías relativas a la investigación tecnológica por parte de la Policía Judicial. Salvo los casos que se señala en la propia Ley, siempre es necesaria autorización judicial y, en los casos excepcionales en los que la Policía puede adoptar determinadas medidas de investigación, estas quedan sujetas al control judicial posterior (control a distancia de dispositivos u ordenadores, la actuación de agente virtual infiltrado, dispositivos de seguimiento, etc.).
En relación con esta obligación, también se debe señalar que su incumplimiento puede implicar, sin perjuicio de otras posibles responsabilidades, incluso penales, la comisión de una infracción prevista en la propia Ley 7/2021. El artículo 58 de la misma califica de muy grave la negativa a facilitar los datos en los casos estudiados y el informar al interesado cuando se comuniquen los datos a las Fuerzas y Cuerpos de Seguridad. En los casos menos graves la falta de colaboración sería constitutiva de una infracción grave (Art. 59 j).
Las sanciones previstas son las que establece el artículo 62: en el caso de infracciones muy graves pueden llegar hasta el 1.000.000 de euros y las graves hasta 360.000, siendo la mínima de 60.001 euros.
Se debe señalar en relación con los operadores de seguridad privada que también la Ley 5/2014, de Seguridad Privada tipifica infracciones ante la falta de colaboración con las Fuerzas y Cuerpos de Seguridad. En este caso, típico del concurso de normas, es resuelto por el artículo 57 de la nueva Ley, siempre que no sea de aplicación el Reglamento General de Protección de Datos o la Ley 3/2018.
Reforma de la Ley de Seguridad Privada.
Por último, señalar que la comentada Ley, en sus disposiciones finales modifica determinadas leyes, entre ellas la Ley 5/2014, de Seguridad privada. La modificación sólo afecta al artículo 69 de la misma, referido al procedimiento sancionador que pueda incoarse por infracción a la propia Ley, disponiéndose que el procedimiento será el establecido en la Ley 39/2015 del Procedimiento Administrativo Común y en la Ley 40/2015, del Sector Público. Y que el procedimiento caducará a los seis meses desde su inicio (hasta ese momento eran tres meses). Las medidas cautelares que se pueden adoptar son las mismas que en la legislación anterior.