nº 975 - 24 de junio de 2021
El hermoso lío de la protección de datos
(Sobre Ley Orgánica de protección de datos personales tratados para fines penales)
J & F
En el Boletín Oficial del Estado de 27 de mayo se publica la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Se trata de una norma largamente esperada y que, como todas en este ámbito, encuentra su origen en Europa. Pero vamos a situarnos en la situación. El mes pasado la Unión Europea imponía a nuestro país una multa de 15.000.000 de euros y otra de 89.000 euros diarios por no haber transpuesto en plazo la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. No está mal.
Pero es que la situación es, todavía y aunque parezca increíble, más absurda de lo que pudiera parecer, porque hemos no hemos transpuesto esta norma (cuyo plazo acababa «a más tardar el 6 de mayo de 2018»… tres años de retraso, ya está bien), en tanto que nos hemos empeñado en el «transponer» (si es que se puede llamar así) el Reglamento Europeo de Protección de Datos que había sido aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, norma que, por su rango (Reglamento de la Unión Europea) ni precisaba ni requería de transposición. Es más, se pidió expresamente que no se transpusiera y nuestro Gobierno primero y nuestro legislador después tan hacendosos y prudentes (y más papistas que el Papa) primero dictaron el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que después fue derogado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (mezclando, en este último caso, churras con merinas).
Tal vez con una norma reglamentaria nacional hubiera sido más que suficiente. Eso sí, seguimos con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre… en fin, cosas veredes amigo Sancho.
En definitiva 5 años después de la promulgación de la Directiva y con tres años de retraso sobre el plazo marcado para la transposición se publica la referida Ley Orgánica 7/2021, de 26 de mayo. Eso sí, con entrada en vigor a los veinte días de su publicación en el BOE (esto es, el 16 de junio de 2021).
La Ley (Orgánica) que cuenta con 65 artículos y viene a regular la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública (artículo 1) y es, por tanto, de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Enlaza con el Reglamento Europeo que, en su artículo 2.2 d) excluye el tratamiento de este tipo de datos, como también hace el artículo 10 de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
A pesar de tratamiento diferenciado, existe una lógica simetría entre ambos tratamientos de datos de carácter personal, centrándose la regulación en el ámbito propio de este tipo de recogida y tratamiento de datos (como son los sistemas de grabación de imagen y sonido, artículos 15 a 19 de la Ley Orgánica 7/2021. De 26 de mayo), si bien, y por razones obvias, el acceso, rectificación, supresión y limitaciones tienen en cuenta el fin que cumplen esos datos (como es el caso, a título de ejemplo, de su conservación a efectos de prueba en el artículo 23 de la Ley Orgánica) y el establecimiento de un régimen especial en el caso de investigaciones y procesos penales (artículo 26).
De hecho, la Autoridad de Protección de Datos Independiente sigue siendo la Agencia Española de Protección de Datos (artículos 48 a 51), como nos recuerda el recientemente publicado Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos (Boletín Oficial del Estado de 2 de junio, con entrada en vigor al día siguiente, esto es, el 3 de junio de 2021).
La norma concluye con la regulación de un régimen de reclamaciones (artículos 52 a 55) y un régimen sancionador (previsto en los artículos 56 a 65) similar (pero no idéntico) al establecido en la Ley 3/2018, de 5 de diciembre (artículos 70 a 78).
Por supuesto, y como toda norma que se precie de serlo, se aprovecha para modificar una serie de normas. Como son:
– La Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria.
– La Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal.
– La Ley Orgánica 6/1985 de 1 de julio, del Poder Judicial.
– La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
– La Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.
– La Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.
– La Ley 5/2014, de 4 de abril, de Seguridad Privada.
– La Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre.
Desde luego tarde y con un importante coste económico. De bien, ya veremos. ■