nº 1.013 - 27 de diciembre de 2024
Prevención, detección, investigación y enjuiciamiento de delitos; autoridades de control y protección de datos personales
Antonio Troncoso Reigada. Catedrático de Derecho Constitucional de la Universidad de Cádiz. Vocal de la Comisión Consultiva de la Transparencia y la Protección de Datos de Andalucía
Esta obra supone un Comentario a la Directiva (UE) 2016/680 y a la Ley Orgánica 7/2021, de 26 de mayo
Cuenta con 113 contribuciones realizadas por 75 autores que abordan desde distintas perspectivas profesionales y académicas el estudio del nuevo marco normativa
Las Fuerzas y Cuerpos de Seguridad necesitan datos personales para trabajar, pues sin información no es posible prevenir el crimen, luchar contra él y capturar a los criminales. El nuevo marco normativo de protección de datos personales en este ámbito afronta el problema de la dispersión normativa y establece normas que permiten un intercambio de información necesario para la eficacia policial y la instrucción y enjuiciamiento penal al mismo tiempo que se respetan los valores de nuestras sociedades democráticas y los derechos de los ciudadanos. Este es el reto que tenemos que afrontar: al igual que las tecnologías han globalizado el intercambio de información, que seamos capaces de globalizar también las garantías para que en el ámbito policial y judicial penal podamos seguir hablando de una Europa de los derechos.
La obra, Prevención, detección, investigación y enjuiciamiento de delitos, autoridades de control y protección de datos personales, que cuenta con el Prólogo del presidente del Tribunal Constitucional, Cándido Conde-Pumpido Tourón, se estructura en nueve partes que siguen la sistemática de los diferentes capítulos de la Directiva –DPDP– y de la Ley Orgánica de transposición al ordenamiento jurídico español –LOPDP–, analizando conjuntamente ambos textos normativos.
Objeto de la DPDP y de la LOPD
La Primera Parte de la obra, después de analizar el Dictamen del Consejo de Estado al Anteproyecto de Ley, aborda el objeto de la DPDP y de la LOPD que es establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes como las Fuerzas y Cuerpos de Seguridad y las autoridades judiciales del orden jurisdiccional penal cuando se lleva a cabo con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. También se analiza el objetivo, que es más amplio, pues no se trata únicamente de la protección de datos personales, sino también de garantizar el intercambio de los datos personales por las autoridades competentes.
Posteriormente en la Primera Parte se examina el ámbito de aplicación general de la DPDP y de la LOPDP –los tratamientos de datos personales policiales, de instrucción y enjuiciamiento penal y de ejecución de sentencias penales– y los tratamientos de datos personales que quedan fuera de su ámbito de aplicación, como los relativos a las materias clasificadas. También se abordan las definiciones de la DPDP y de la LOPDP, prestando una atención especial a aquellas que tienen más relevancia penal como la elaboración de perfiles y los datos biométricos. Finamente se estudian las autoridades competentes nacionales e internacionales, que son las autoridades públicas que tienen la competencia encomendada legalmente para los fines establecidos en esta normativa.
Esta Primera Parte de la obra también incluye el estudio de Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, así como de la Ley Orgánica 9/2022, de 28 de julio, por la que se establecen normas que faciliten el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales, donde se estudia el acceso directo e inmediato al fichero de titularidades financieras. Igualmente se analizan algunas cuestiones relacionadas con el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial, en especial, el uso de sistemas de inteligencia artificial en la actuación policial predictiva.
Principios relativos al tratamiento de datos personales
En la Segunda Parte se estudian los principios relativos al tratamiento de datos personales, abordando también el deber de colaboración con las Fuerzas y Cuerpos de Seguridad del Estado y con otras autoridades competentes y el deber de colaboración con la Administración de Justicia. Igualmente, dentro de esta Segunda Parte se estudia la distinción entre categorías de interesados para determinar quién es quién entre los afectados por el tratamiento de datos con fines penales, prestando una especial atención a la verificación de la calidad de los datos personales en su aplicación al ámbito policial y judicial. Igualmente se estudia de manera específica la licitud del tratamiento y las condiciones específicas de tratamiento. Dentro de esa Segunda Parte también se abordan los tratamientos de categorías especiales de datos personales, especialmente los datos biométricos dirigidos a identificar de manera unívoca a una persona física. Especial atención se dedica a los mecanismos de decisión individual automatizados en el ámbito penal; sus sesgos, su opacidad y cómo las decisiones automatizadas en la investigación penal afectan a la privacidad colectiva.
Un apartado específico en esta Segunda Parte se refiere al tratamiento de datos personales en el ámbito de la videovigilancia por las Fuerzas y Cuerpos de Seguridad: los sistemas de grabación de imágenes y sonido, la instalación de sistemas fijos y de dispositivos móviles, el tratamiento y la conservación de las imágenes y el régimen disciplinario. También se aborda el uso de cámaras de videovigilancia por la policía local y el posible conflicto en la aplicación de diversas normativas.
Derechos de las personas
La Tercera Parte de la obra está centrada en los derechos de las personas. En esta Parte se abordan las condiciones generales de ejercicio de los derechos de los interesados, la información que debe ponerse a disposición de estos, el derecho de acceso del interesado a sus datos personales y sus limitaciones y los derechos de rectificación, supresión de los datos personales y limitación de su tratamiento en el ámbito policial y sus restricciones. También se aborda el ejercicio de los derechos del interesado a través de la autoridad de control. Especialmente se estudia cuáles son los derechos del interesado en las investigaciones y procesos penales y las posibles responsabilidades por la difusión de datos sensibles contenidos en un proceso penal.
El responsable y el encargado del tratamiento
En la Cuarta Parte se estudia el responsable y el encargado del tratamiento, las obligaciones generales de estos, la protección de datos desde el diseño y por defecto, la corresponsabilidad en el tratamiento, el tratamiento bajo la autoridad del responsable o del encargado, el registro de actividades del tratamiento, el registro de operaciones, la cooperación con las autoridades de control, la evaluación de impacto, especialmente referida al uso de inteligencia artificial en prevención del crimen y la consulta previa a la autoridad de control. Se aborda específicamente la seguridad de los datos personales y del tratamiento, la notificación a la autoridad de control de una violación de la seguridad y la comunicación de la brecha de seguridad al interesado. Además, se presta una especial atención a la ciberseguridad, a las amenazas y a los protocolos de actuación. Finalmente se estudia la figura del delegado de protección de datos, su designación, posición y funciones.
Transferencias de datos personales
En la Quinta Parte se estudian las transferencias de datos personales a terceros países y a organizaciones internacionales, los principios generales de las transferencias de datos personales, las condiciones de las transferencias en el marco de los tratamientos con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y ejecución de penas, las transferencias de datos personales basadas en una decisión de adecuación y mediante garantías apropiadas por parte de autoridades policiales y judiciales, las excepciones para situaciones específicas y las transferencias de datos personales a destinatarios que no sean autoridades competentes y que estén establecidos en Estados no pertenecientes a la Unión Europea. Se presta atención a la cooperación internacional en el ámbito de la protección de datos personales, especialmente haciendo mención a su impacto para Europol, Interpol, Eurojust y el Comité Europeo de Protección de Datos personales.
Autoridades de control independientes
La Sexta Parte está dedicada a las autoridades de control independientes, que son abordadas no sólo desde la perspectiva de la DPDP y de la LOPDP sino también teniendo en cuenta las previsiones del RGPD y de la LOPDGDD. Así, después de analizar el fortalecimiento que el marco normativo europeo ha supuesto para las autoridades de control, se estudian las novedades en el modelo institucional de la AEPD: Presidencia, Adjuntía y Consejo Consultivo. Posteriormente, se abordan las garantías de independencia, estudiando la forma y requisitos de nombramiento y la inamovilidad, así como la autonomía financiera, presupuestaria, de personal y normativa de la autoridad de control. Después se estudia la competencia de la autoridad de control en los tratamientos de datos personales con fines de prevención, investigación y detección de delitos y en los tratamientos de datos personales por los órganos jurisdiccionales, prestando una especial atención a los tratamientos de datos personales por la jurisdicción penal para el enjuiciamiento de infracciones penales. Finalmente, se abordan las funciones y los poderes, en especial los poderes de investigación, correctivos y sancionadores, diferenciando las funciones y poderes de la autoridad de control en el ámbito de aplicación del RGPD y en el ámbito de aplicación de la LOPDP.
El CGPJ como autoridad de control
En esta Sexta Parte también se estudia el Consejo General del Poder Judicial como autoridad de control en los tratamientos de datos personales que llevan a cabo los juzgados y tribunales con fines jurisdiccionales. Asimismo, dentro de esta Sexta Parte se analiza la asistencia mutua entre autoridades de protección de datos de los Estados miembros de la Unión Europea y las funciones del Comité Europeo de Protección de Datos.
Recursos, responsabilidad y sanciones
La Séptima Parte está dedicada a los recursos, responsabilidad y sanciones. En esta Parte se aborda el derecho a presentar una reclamación ante una autoridad de control y el régimen aplicable a los procedimientos tramitados ante las autoridades de control, el derecho a la tutela judicial efectiva contra una autoridad de control, así como contra el responsable o encargado del tratamiento; y el derecho de los interesados a ser indemnizados por entes del sector público y por encargados del tratamiento del sector privado. Finalmente se estudia el régimen sancionador, los sujetos responsables, el concurso de normas, las infracciones muy graves, graves y leves, las sanciones, la prescripción de infracciones y sanciones, la caducidad del procedimiento y el carácter subsidiario del procedimiento administrativo sancionador respecto del penal.
Actos de ejecución de la DPDP
En la Octava y Novena Parte se abordan los Actos de ejecución de la DPDP, el análisis de los actos y acuerdos preexistentes a la misma y los Informes de la Comisión. Igualmente se estudian las Disposiciones adicionales y finales de la LOPDP, con especial atención a las modificaciones de la Ley 1/1979, de 26 de septiembre, General Penitenciaria, de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de la Ley 50/1981, de 30 de diciembre, del Estatuto Orgánico del Ministerio Fiscal.
Esta obra cuenta con 113 contribuciones realizadas por 75 autores que abordan el estudio de la Directiva 2016/680 y de la Ley Orgánica 7/2012, de 26 de mayo desde distintas perspectivas profesionales y académicas. Así, participan funcionarios del Ministerio del Interior y de las Fuerzas y Cuerpos de Seguridad como los Delegados de Protección de Datos de la Secretaría de Estado de Seguridad, de la Dirección General de la Policía, de la Guardia Civil, de Instituciones Penitenciarias, del CGPJ y del Ministerio Fiscal, así como el Director de Supervisión del CGPJ. También intervienen miembros de la Comisión Europea y de las autoridades de protección de datos, abogados, magistrados y un conjunto amplio de profesores y profesoras de Derecho Procesal, Penal, Constitucional, Administrativo, Financiero, Civil, Filosofía e Internacional.
Esta obra cierra de alguna manera el ciclo de estudio del nuevo marco normativo de protección de datos personales que se inició con el Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y que nos ha ocupado los últimos seis años. ■