La reforma normativa en materia de protección de datos ha supuesto un importante revulsivo con relevantes implicaciones de fondo y forma. Ya no estamos ante normas estáticas que obligan a publicar en el Boletín Oficial de cada Estado Miembro los ficheros de datos de los que estos son propietarios. Ahora, a la vez que sociedad y el tratamiento de sus datos se vuelven más dinámicos y fluidos, la publicación de estos ficheros también lo hace. De hecho, la misma ha sido sustituida por un Registro de Actividades que cada entidad pública maneja en su web. En la misma línea, en cuanto al fondo, ya no estamos en presencia de normas cerradas que imponen medidas de seguridad específicas. Se trata de normas más amplias, abiertas y valorativas, donde, por ejemplo, la cesión de datos entre entidades depende de los intereses en juego, de su respaldo legal, pero también de la valoración que para caso y en cada momento se haga.
Además de lo anterior, en el ámbito penitenciario, el marco normativo se encuentra articulado de modo complejo. De un lado, tenemos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). De cumplimiento obligado en todos los países de la Unión, no necesita realmente de implementación interna. Sin embargo, sí supuso la sustitución de gran parte de la LO 15/99 de protección de datos por la ahora vigente LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. De otro lado, la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, e implementada en nuestro ordenamiento a través de la LO 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Como vemos, a nivel europeo, se ha dado un impulso a la regulación en la materia de protección de datos, en la medida que lo que era una mera directiva se ha transformado en reglamento y lo que era una mera decisión marco ha asumido la forma de directiva. El rango normativo aumenta y con ello, las obligaciones que la UE nos impone.
Felicitándonos de la mayor armonización que lo anterior supone, lo cierto es que en ámbitos específicos, como el penitenciario, implica un choque de perspectivas que debemos gestionar. Ello en la medida en que confluyen dos normas diferentes –el Reglamento y la Directiva- que se aplican dependiendo de la finalidad del concreto tratamiento de datos que abordemos. Así, si bien no hay dudas generales sobre el tratamiento de determinados datos –los relativos a los funcionarios caen en la órbita del Reglamento y la LO 3/2018; los de los internos en la de la Directiva y la LO 7/2021-, lo cierto es que ante supuestos prácticos complejos, observamos que muchos de esos tratamientos pueden considerarse híbridos. Por ejemplo, los datos de salud de las personas condenas. Sin duda, se trata de datos obtenidos con motivo de la ejecución de una sanción penal, pero no podemos decir que la finalidad de su tratamiento esté siempre relacionado con la misma. Si decidimos aplicar a un interno un aislamiento provisional vía sanción disciplinaria, conocer su salud sí está directamente relacionado con la ejecución de la pena. Sin embargo, si ese tratamiento de datos sanitarios se realiza con la misma finalidad que la de cualquier otro ciudadano -esto es, cuidar de la salud o llevar a cabo una determinada revisión-, aparecen indicadores claros que nos dicen que el objeto de ese tratamiento nada tiene que ver con la ejecución penal.
La situación que describimos y la determinación de la norma específica a aplicar, no es algo anecdótico. Si entendemos que un tratamiento de datos cae en la órbita del Reglamento, la disponibilidad sobre los datos personales y el poder jurídico del consentimiento, es muy superior al que se observa en el ámbito de aplicación de la Directiva. De ahí que no sirva hablar de cuerpos administrativos sometidos a una u otra norma, sino que lo propio sea atender a los tratamientos. Y dentro de los tratamientos de datos que refiramos, lo adecuado será analizar si los mismos –como en el caso de la salud de los internos- pueden tener fines diferentes y regímenes jurídicos diferentes, según cada supuesto. A la vez, es importante destacar que la equiparación del régimen jurídico de los datos relativos a la ejecución de la condena y los tratados con fines policiales, no supone la equiparación de sus finalidades. Nada tienen que ver la una con la otra. Sirva como ejemplo el acceso al programa Viogen, fichero con fines policiales, abierto al conocimiento de ciertos profesionales penitenciarios, miembros de las juntas de tratamiento. En él se recogen todas aquellas denuncias contra un individuo concreto en el ámbito de la violencia de género. Sin embargo, no todas estas denuncias y los hechos denunciados en ellas han dado lugar a sanción penal pero, por supuesto, con su sola lectura se mediatiza, y de qué manera, la visión global que del individuo se obtiene y que afecta de gran modo las decisiones que sobre ellos, en el ámbito penitenciario se adoptan, cuando la finalidad penitenciaria es atender a la ejecución de lo que efectivamente ha sido penado y los hechos que se han declarado probados.
Expuesto lo anterior, y como resultado de este prolongado auge de la nuevas tecnologías y la interconexión, sí queremos llamar la atención sobre la necesidad de seguir prestando atención al individuo. En lo penitenciario, donde la atención al ser humano es tan relevante, corremos el serio riesgo de prestar más atención a lo que nos dicen los datos sobre las personas, que a lo que nos dicen esas personas de sí mismas. Si esto último no ha de tomarse como auto de fe, lo primero tampoco. Sin embargo, estamos cayendo en una especie de dictadura virtual donde los datos fluyen con menos límite del que a veces quisiéramos y con un importante impacto valorativo.
