Hoy, jueves 27 de mayo de 2021, se ha publicado en el BOE la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Este nuevo instrumento legislativo tiene como objeto la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que amplia el ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de la cooperación policial y judicial penal. De esta forma, se ha de garantizar que el intercambio de información entre autoridades se realiza de forma que se salvaguarden n los derechos de la ciudadanía, y concretamente, de sus datos personales.

Tal como se desprende de su artículo 1, el objeto de esta LO es establecer un marco normativo

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.”

La finalidad principal es lograr que los tratamientos de datos por las autoridades den cumplimiento a los fines previstos, y que además, se observen los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos.

Ley Orgánica 7/2021

Asimismo, esta Ley establece un nuevo sistema de obligaciones para las autoridades competentes como responsables del tratamiento y en función de las distintas misiones que se les asignen. En correspondencia con lo dispuesto en el artículo 22.6 de la LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Este, determina que cuando el tratamiento de datos se realice para los fines de prevención, detección, investigación y enjuiciamiento penal y se utilicen cámaras de videovigilancia por las Fuerzas y Cuerpos de Seguridad. O bien, se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios. Habrá que estar a lo dispuesto en la normativa específica.

El texto consta de ocho Capítulos, cinco Disposiciones Adicionales, una Disposición Transitoria, una Disposición Derogatoria y doce Disposiciones Finales.

  • Capítulo I: Disposiciones generales.
  • II: Principios, licitud de tratamiento y videovigilancia.
  • III: Derechos de las personas.
  • IV: Responsable y encargado de tratamiento.
  • V: Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales.
  • VI: Autoridades de protección de datos independientes.
  • VII: Reclamaciones.
  • VIII: Régimen sancionador.
  • Disposiciones Adicionales, Transitorias, Derogatorias y Finales.

El Capítulo II, recoge una suerte de principios relativos al tratamiento de datos personales en consonancia con lo dispuesto en el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD. Asimismo, salvo que sea necesario una autorización judicial, se impone un deber a los ciudadanos y Administraciones de colaborar y proporcionar a las autoridades competentes la información necesaria para la investigación, enjuiciamiento de infracciones o ejecución de penas.

A su vez, el plazo de conservación de los datos será el necesario para cumplir los fines. Deberá revisarse como máximo cada 3 años, y con carácter general, el plazo máximo para la supresión será de 20 años salvo factores que justifiquen su preservación. También, se debe realizar una distinción entre las categorías de interesados: sospechosos, condenados, víctimas/afectados y terceros involucrados.

Tratamiento de datos

En caso de transmisión de datos, deberán respetarse las condiciones establecidas por la legislación para las mismas, y de forma concreta, la prohibición ulterior de transmisión o utilización para fines distintos. En cuanto al tratamiento de categorías especiales de datos únicamente podrán llevarse a cabo cuando sea estrictamente necesario y:

  • Prevea una ley.
  • Sea necesario para proteger intereses vitales.
  • Sean datos manifiestamente públicos.

Los datos biométricos (huellas dactilares o imagen facial) únicamente se incluirán como categoría especial. Siempre y cuando su tratamiento está dirigido a identificar de manera unívoca a una persona física. Esto se producirá cuando se singularice a autores o partícipes de infracciones penales. Así como, poder reconocer si son las personas buscadas o que se supone para atribuir o determinar la participación en unos hechos concretos.

Por su parte, se encuentran prohibidas las decisiones basadas en tratamientos automatizados, así como, la elaboración de perfiles, que produzcan efectos jurídicos negativos salvo disposición legal que lo permita.

El Capítulo III recoge los derechos de los interesados, reconociéndose a estos: acceso, rectificación, supresión y limitación del tratamiento. No obstante, existen ciertas restricciones que podrán ser aplicadas por las Autoridades competentes para la consecución de los siguientes fines:

  • Impedir obstaculización de la investigación o procedimiento.
  • Evitar perjuicio en la prevención, detección, investigación y enjuiciamiento.
  • Proteger la seguridad pública, Seguridad Nacional o los derechos y libertades de otras personas.

El Capítulo IV determina la obligación del responsable de aplicar las medidas técnicas y organizativas apropiadas. Todo en función del riesgo, debiéndose aplicar en todo caso una protección desde el diseño y por defecto. Se deberá valorar el riesgo previamente a adoptar las medidas oportunas, tener un Registro de Actividades de tratamiento y de operaciones tanto por los responsables como encargados. También notificar a la autoridad de protección de datos cualquier violación que se haya producido.

¿Responsable de Protección de Datos para la Ley Orgánica 7/2021?

Será obligatorio designar un DPD salvo en relación con los tratamientos de datos con fines jurisdiccionales, pudiendo ser único para varias autoridades competentes.

El Capítulo V regula las transferencias de datos a Estados no miembros de la UE, obligándose a respetar las siguientes condiciones:

  • Que sea necesaria para los fines.
  • Que se transmitan a otro responsable.
  • Autorización del Estado miembro de la UE que haya enviado los datos a España.
  • Decisión de adecuación de la Comisión Europea, se hayan aportado garantías apropiadas.
  • Autorización de las autoridades competentes españolas en caso de transferencia ulterior.

Solo se permiten las transferencias de datos personales por las autoridades españolas sin autorización previa de otro Estado miembro con excepciones. Solo cuando: (i) sea necesaria para prevenir una amenaza inmediata y grave para la seguridad pública, (ii) para los intereses fundamentales de un Estado miembro, y (iii) cuando la autorización previa no pueda conseguirse a su debido tiempo.

Finalmente, cabe señalar el Capítulo VIII que regula el Régimen sancionador específico estipulando sanciones por cuantía de hasta 1.000.000 euros para aquellos sujetos distintos a los señalados en el art.77.1 de la LOPDGDD.

Esta nueva Ley Orgánica entrará en vigor el próximo 16 de junio de 2021. A excepción de las previsiones contenidas en el Capítulo IV sobre obligaciones y responsabilidades de los responsables y encargados de protección de datos. Que producirán efectos a los 6 meses de la entrada en vigor.

Observatorio AUTELSI de Privacidad y Derechos Digitales. Ley Orgánica 7/2021.

Suscribete a nuestraNewsletter

Únete a nuetsra lista de mailing y recibe las últimas noticias en privacidad y derechos digitales.

Gracias hemos recibido su mail correctamente