La doble vía escogida por el derecho de la Unión Europea para la protección de datos personales, ha definido enormemente la ubicación normativa de aquellos datos pertenecientes a los internos en centros penitenciarios. De un lado, tenemos el Reglamento (UE) 2016/679 para la protección de datos en un ámbito de actuación general; y, de otro lado, la Directiva (UE) 2016/680 relativa a la protección de datos en el contexto de investigación policial, enjuiciamiento de infracciones penales y ejecución de sanciones penales.
En consonancia con lo anterior, la LO 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, implementa en nuestro ordenamiento interno el Reglamento (UE) y excluye de su ámbito de aplicación los datos personales relativos a los internos en centros penitenciarios. Tal y como se infiere de sus arts. 2, 22 y, especialmente, la DT cuarta "los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta el tratamiento de datos personales por parte de autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el art. 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva". Por tanto, y para el tiempo que se demore la implementación de la Directiva, tendremos la LO 3/2018 de aplicación general, y la anterior LOPD 15/99, todavía vigente en la mayor parte de las materias que esa Directiva regula.
La consecuencia para los datos de los internos es clara. Su régimen de protección y garantías se equipara al régimen de los conocidos como ficheros policiales del art. 22 LO 15/99 vigente a estos efectos. De acuerdo con el mismo: "1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley. 2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. 3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales. 4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad".
A su vez, para completar el marco jurídico de los ficheros policiales, el art. 23 LO 15/99 determina las excepciones a los derechos de acceso, rectificación y cancelación en el siguiente sentido: "1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando. 2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado está siendo objeto de actuaciones inspectoras. 3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación".
Considerando la normativa expuesta y especialmente, el art. 23.1 LO 15/99, en el caso de los ficheros policiales, a los que la LO 3/2018 asimila los que versen sobre el tratamiento de datos de internos, se puede denegar el derecho de acceso, rectificación o cancelación principalmente por motivos relativos a la "defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando".
A su vez, en cuanto al régimen de cesión de datos personales por parte de las Administraciones Públicas, en términos generales puede decirse que no rige el principio general del Reglamento (UE) favorable a la cesión en caso de concurrir interés público, sino el régimen más estricto de la LO 15/99 que bien exige que concurran determinadas condiciones específicas, bien que la cesión esté prevista en una norma legal. No obstante lo dicho, lo cierto es que los arts. 2 y 22 LO 3/2018 determinan que el nuevo régimen de protección de datos se aplica de manera subsidiaria a lo previsto en la legislación específica de cada ámbito de actuación, incluyendo aquellas materias que recaen bajo el paraguas normativo de la Directiva. Por tanto, se abre un periodo para la interpretación normativa que esperemos que por la propia lógica de la seguridad jurídica dure lo menos posible con una pronta y concreta implementación de dicha Directiva sobre ejecución de sanciones penales y tratamiento de datos personales.
