Se publica la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Estos son algunos de los aspectos más destacados de la norma:

Marco normativo de referencia.

El marco normativo de referencia del nuevo texto es, por un lado, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y por otro, la Directiva (UE) 2016/680, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, que es objeto de transposición por la nueva norma y que derogó la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008. Por lo que hace al ordenamiento español, la referencia normativa es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Objeto de la ley.

El objeto de la norma es la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que tengan la consideración de autoridades competentes.

Su finalidad principal es que los datos sean tratados por tales autoridades de manera que se cumplan los fines prevenidos, preservando los derechos fundamentales de los ciudadanos, conforme al artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, al artículo 16.1 TFUE y al artículo 18.4 de la Constitución.

Conforme al artículo 22.6 de la Ley Orgánica 3/2018, cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en esta Ley Orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta Ley Orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos.

La nueva ley no se aplica a los tratamientos de datos de personas fallecidas. Sin embargo las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar al responsable o encargado del tratamiento el acceso, rectificación o supresión de los datos de aquel. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o por el Ministerio Fiscal. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse por quienes hubiesen sido designados para el ejercicio de funciones de apoyo.

Autoridades competentes.

Dispone el texto que serán autoridades competentes, a efectos de esta Ley Orgánica, las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

Ámbito de aplicación.

Se excluyen expresamente del ámbito de aplicación de la norma ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los cubiertos por la Ley Orgánica; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común; los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea; y los sometidos a la normativa sobre materias clasificadas, entre estos últimos, los relativos a la Defensa Nacional.

Principios de protección de datos.

La ley incluye un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores.

El responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos y deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, como máximo cada tres años. Con carácter general, el plazo máximo para la supresión de los datos será de veinte años.

El responsable deberá distinguir en sus tratamientos los datos que correspondan a las diversas categorías de interesados, como sospechosos, condenados o sancionados, víctimas o terceros involucrados, así como diferenciar si los datos que trata se basan en hechos o en apreciaciones.

Dispone asimismo la ley que el tratamiento sólo será lícito en la medida en que sea necesario para los fines señalados y se realice por una autoridad competente en ejercicio de sus funciones.

En caso de transmisión de datos sujetos a condiciones específicas de tratamiento, taless condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos de aquéllos para los que fueron transmitidos.

El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, sólo se permitirá cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado.

Por otro lado, la norma prohíbe la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley o por el Derecho de la Unión Europea.

Derechos de las personas.

En el capítulo dedicado a los derechos de las personas, la ley regula las condiciones generales de su ejercicio, tales como la obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se establece asimismo la información que debe ponerse a disposición del interesado, entre ellos la identificación del responsable del tratamiento y sus datos de contacto; los datos de contacto del delegado de protección de datos y los fines del tratamiento a los que se destinen los datos personales.

Se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento y se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos o estos datos deban conservarse únicamente a efectos probatorios.

Estos derechos pueden ser restringidos en determinados supuestos, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional.

Establece también la norma que el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales.

Responsable y encargado de tratamiento.

La ley también recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos.

El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas.

El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable, debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.

La ley obliga a los responsables y encargados del tratamiento a conservar un registro de actividades de tratamiento, con datos identificativos, tales como los datos de contacto del responsable, los fines o las categorías de interesados, y un registro de operaciones, que comprenderá la recogida, la alteración, las consultas y las transferencias de los datos personales, entre otras operaciones.

Todos ellos están obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación vigente.

Dispone asimismo el texto que cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, suponga por su naturaleza, alcance, contexto o fines, un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales.

En relación con la seguridad del tratamiento, la ley regula alguna de las medidas que deberán aplicarse, particularmente respecto al tratamiento automatizado. Se impone, asimismo, el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad, que deberá ser notificada al interesado salvo en supuestos expresamente previstos en la ley.

Finalmente, el texto establece que los responsables del tratamiento designarán un delegado de protección de datos, aunque no estarán obligados a hacerlo los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos personales se realice en el ejercicio de sus funciones jurisdiccionales. Entre sus funciones la ley establece las de informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo, acerca de las obligaciones que les incumben en materia de protección de datos y supervisar el cumplimiento de la legislación aplicable, así como de lo establecido en las políticas del responsable del tratamiento en materia de protección de datos personales; asesorar acerca de la evaluación de impacto relativa a la protección de datos y cooperar con la autoridad de protección de datos y actuar como punto de contacto con ella.

Transferencia de datos a terceros Estados u organizaciones internacionales.

La Ley también regula las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional y se establecen las condiciones que deberán cumplirse para que estas sean lícitas. De este modo, sólo deben realizarse cuando sean necesarias para los fines de esta Ley Orgánica y cuando el responsable del tratamiento en el tercer país u organización internacional sea autoridad competente en relación con dichos fines.

La autoridad competente del Estado miembro en el que se obtuvo el dato debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a otro tercer país o a una organización internacional.

Ese tercer país u organización internacional destinatario de la trasferencia deberá ser objeto de evaluación por la Comisión Europea en relación con su nivel de protección de datos.

También dispone la ley que, excepcionalmente, en casos particulares y específicos, las autoridades competentes españolas podrán transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las disposiciones que el propio texto prevé.

Autoridades de protección de datos.

Acerca de las autoridades de protección de datos, la ley dispone que dichas autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos, en sus respectivos ámbitos competenciales. Asimismo, la Ley Orgánica recoge sus potestades, funciones y la asistencia entre autoridades de protección de datos de los Estados miembros.

Las autoridades de protección de datos tendrán atribuidas, en el ámbito de esta Ley Orgánica, estas potestades:

  • De investigación, incluyendo el acceso a todos los datos que estén siendo tratados por el responsable o el encargado del tratamiento.
  • De advertencia y control de lo exigido en la Ley Orgánica, incluida la sanción de las infracciones cometidas, la elaboración de recomendaciones, órdenes de rectificación, supresión o limitación del tratamiento de datos personales o de limitación temporal o definitiva del tratamiento, incluida su prohibición, así como la orden a los responsables del tratamiento de comunicar las vulneraciones de seguridad de los datos a los interesados.
  • De asesoramiento, que comprende la consulta previa prevista en el artículo 36 y la emisión, por propia iniciativa o previa solicitud, de dictámenes destinados a las Cortes Generales o al Gobierno, a otras instituciones u organismos, así como al público en general, acerca de todo asunto relacionado con la protección de datos.

Procedimientos de reclamación.

La ley establece que los procedimientos de reclamación que se planteen ante las autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre o por la normativa reguladora de la autoridad de protección de datos y se refiere a los supuestos en que los responsables o encargados del tratamiento o la autoridad de protección de datos incumplan la Ley Orgánica y generen un daño o lesión al interesado.

Sin perjuicio de cualquier otro recurso administrativo o reclamación, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.

Régimen sancionador.

La ley también regula el régimen sancionador específico aplicable ante incumplimientos de las obligaciones previstas en su texto. Así, define los sujetos sobre los que recaerá la responsabilidad por las infracciones cometidas; determina las reglas del concurso de normas para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más de ellas; tipifica las infracciones, leves, graves o muy graves, y establece las sanciones que se pueden imponer y los plazos de prescripción, tanto de las infracciones como de las sanciones.

Otras disposiciones.

Las disposiciones adicionales se refieren a regímenes específicos, al intercambio de datos dentro de la Unión Europea, a los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, y a los tratamientos que se efectúen en relación con los ficheros y al Registro de Población de las Administraciones Públicas.

Modificaciones legislativas.

  • Disposición final primera. Modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria.
  • Disposición final segunda. Modificación de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal.
  • Disposición final tercera. Modificación de la Ley Orgánica 6/1985 de 1 de julio, del Poder Judicial.
  • Disposición final cuarta. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Disposición final quinta. Modificación de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.
  • Disposición final sexta. Modificación de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.
  • Disposición final séptima. Modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
  • Disposición final octava. Modificación del texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre.