Tanto entidades públicas como privadas recopilan una gran cantidad de datos personales para el cumplimiento de sus funciones. Lo mismo ocurre con las fuerzas de seguridad, jueces y tribunales para la investigación de delitos y la aportación de pruebas en el proceso penal.

La regulación de la recopilación, conservación o cesión de estos datos en procesos penales no ha sido suficiente, ya que estos tratamientos no se rigen por la normativa general de Protección de Datos.

Ahora la UE ha aprobado una Directiva que regula este tipo de tratamientos.

Y aquí os voy a contar cómo.

Normativa reguladora

Directiva (UE) 2016/680

Esta Directiva se refiere a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Tanto el RGPD como la LOPDGDD excluyen de su ámbito de aplicación aquellos tratamientos de datos realizados por una autoridad pública para investigar, prevenir o enjuiciar infracciones penales o para ejecutar sanciones.

Pero esta Directiva, de momento, no ha sido transpuesta al ordenamiento jurídico español.

RGPD

La normativa contenida en el RGPD se aplica con carácter supletorio en los procesos penales.

LOPDGDD

Al igual que ocurre con el RGPD, la aplicación de la nueva LOPDGDD en España a los procedimientos penales se hará de forma suplementaria.

Los jueces y Tribunales deben interpretar nuestro Derecho conforme a esta Directiva y, aunque no haya sido desarrolla en nuestro país, tendrá un efecto directo sobre los derechos reconocidos a los ciudadanos frente a los poderes públicos.

Protección de datos en el proceso penal

En el ámbito del proceso penal debemos diferenciar una serie de particularidades respecto a la protección de datos de los afectados.

Derechos de los titulares

La Directiva UE reconoce a los titulares de los datos los siguientes derechos:

Derecho de acceso

El afectado tiene derecho a que el responsable le confirme si se están tratando sus datos personales, la base de legitimación para ese tratamiento, tipo de datos que se tratan, los destinatarios y el plazo de conservación.

Este derecho de acceso puede limitarse por los Estados miembros en una serie de supuestos:

  • Impedir que se pongan obstáculos a investigaciones o procedimientos oficiales o judiciales;
  • Evitar que se dañe la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;
  • Garantizar la seguridad pública y la seguridad nacional;
  • Proteger los derechos y libertades de otras personas.

Derecho de rectificación, supresión y limitación

El ejercicio de estos derechos podrá limitarse en los mismo supuestos indicados anteriormente.

Procedimiento para ejercitar los derechos

El procedimiento para ejercer esos derechos dentro del proceso penal debe recogerse en el Derecho procesal de cada Estado miembro.

En nuestro país se regula en la Ley Orgánica del Poder Judicial:

  • Los jueces y tribunales podrán adoptar las medidas necesarias para la supresión de datos en documentos procesales a los que las partes puedan acceder durante la tramitación del proceso. Se establece una limitación cuando sean necesarios para garantizar el derecho a la tutela judicial efectiva de esa persona.
  • Existen normas específicas para el acceso a datos del proceso por aquellos que no sean parte en el mismo. En el acceso por los medios de comunicación a información de los procesos judiciales se les advertirá sobre su responsabilidad en la publicación de datos personales contenidos en esa información y de la aplicación en estos casos de la normativa de Protección de datos. Es decir, los datos personales deben publicarse de forma anonimizada.
  • Respecto al acceso a las sentencias u otras resoluciones judiciales se establece que solo podrá realizarse:
    • Previa disociación de los datos personales que contengan
    • Respetando el derecho a la intimidad de los afectados
    • Garantizando el anonimato de perjudicados y víctimas.

Principios del tratamiento de datos en el ámbito penal

Para recoger y tratar los datos personales se establecen unos requisitos:

  • Esas actividades estén previstas en la ley
  • Sean una medida proporcionada y necesaria
  • Se realicen respetando los intereses legítimos de los afectados

Y se indican una serie de principios aplicables al tratamiento de esos datos que suponen unas obligaciones para los responsables y encargados del tratamiento.

Lealtad y licitud

El tratamiento de los datos únicamente será lícito cuando sea necesario para la realización de una función por una autoridad competente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Y siempre debe estar justificado en la ley, que indicará los datos que serán tratados y las finalidades de ese tratamiento.

El principio de lealtad está relacionado con la transparencia e implica que el interesado debe conocer la existencia del procedimiento y tener una completa información sobre el motivo de la recogida de esos datos, cómo van a utilizarse o si van a cederse a terceros. También se les informará sobre si van a elaborarse perfiles con esos datos y sobre si están obligados a facilitar todos los datos requeridos.

Limitación de la finalidad

Deben existir fines legítimos y determinados para recoger esos datos personales. Y los mismos no podrán utilizarse para otros fines incompatibles.

Los datos solo podrían tratarse para otros fines diferentes a los establecidos cuando esté autorizado por una ley y sea necesario para ese otro fin.

Minimización

La minimización significa que los datos objeto del tratamiento deben ser necesarios, adecuados y no excesivos para cumplir la finalidad para la cual se tratan.

Exactitud

Los datos deben exactos para las finalidades del tratamiento previstas y deben suprimirse inmediatamente los datos que sean inexactos para esos fines.

Y se deberán diferenciar entre los datos personales basados en hechos y los basados en apreciaciones personales.

Limitación del periodo de conservación

El plazo de conservación de los datos personales para identificar al interesado será el necesario para los fines para los que son tratados.

Integridad y confidencialidad

En el tratamiento de esos datos personales debe garantizarse su seguridad para evitar tratamientos ilícitos o no autorizados, destrucción o pérdida accidentales. Para ello se aplicarán las medidas de seguridad y confidencialidad adecuadas.

La normativa exige la aplicación de un sistema de análisis y gestión de riesgos para que, en base a los riesgos concretos detectados en el tratamiento, la entidad aplique las correspondientes medidas de seguridad.

Responsabilidad

Se exige al responsable del tratamiento que demuestre que ese tratamiento se realiza conforme a la normativa aplicable y que está adoptando las medidas de seguridad necesarias para garantizar la protección de esos datos.

Protección de datos desde el diseño y por defecto

El responsable del tratamiento debe aplicar, al comienzo del tratamiento y en el momento de establecer los medios de ese tratamiento, las medidas técnicas y organizativas adecuadas para proteger los derechos de los afectados y cumplir la normativa. Dentro de estas medidas están la minimización o seudonimización, por ejemplo.

Igualmente se debe garantizar que solo sean tratados aquellos datos que sean necesarios para las finalidades concretas del tratamiento.

Con estas medidas se impedirá el acceso de determinadas personas a los datos.

Datos especialmente protegidos

Dentro de los datos especialmente protegidos están los referidos al origen étnico o racial, las convicciones religiosas o filosóficas, las opiniones políticas o la afiliación sindical. También los datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales.

Estos datos solo podrán tratarse cuando sea necesario y garantizando siempre los derechos y libertades de los afectados, en los siguientes casos:

  • Cuando lo autorice una ley
  • Si es necesario para proteger los intereses vitales del interesado o de un tercero
  • El tratamiento se refiera a datos que el propio interesado ha hecho públicos

Es decir, la Directiva de la UE únicamente admite el tratamiento de esos datos sensibles en tres supuestos:

  • Casos específicamente indicados en esta Directiva
  • Tratamiento estrictamente necesario
  • Siempre que se apliquen unas especiales medidas técnicas y organizativas

Tratamiento de datos referidos a condenas penales

Estos datos referidos a condenas o infracciones penales están considerados como especialmente protegidos.

Es posible el tratamiento de estos datos con la finalidad de prevenir, detectar, investigar o enjuiciar infracciones penales o ejecutar sanciones penales. Pero deben cumplirse en todo caso las exigencias previstas en la Directiva europea y la normativa de los Estados miembros.

No es posible el tratamiento con otros fines distintos de los anteriores, salvo que esté autorizado por una ley. Por ejemplo, la LOPDGDD, permite el tratamiento de esos datos por abogados o procuradores con la finalidad de recopilar información facilitada por los clientes para realizar sus funciones.

Solo se permitirá registrar completamente estos datos bajo supervisión de la autoridad pública.

La LOPDGDD considera como infracción muy grave el tratamiento de estos datos fuera de los supuestos indicados en la normativa.

Delegado de Protección de Datos

Se exige que los jueces y Tribunales responsables del tratamiento nombren un Delegado de Protección de datos. La Directiva se refiere a que esas funciones sean realizadas por una persona interna de la organización del responsable del tratamiento.

¿Se deben anonimizar las sentencias?

Hace unos días, el Tribunal Supremo en una resolución entendía que la publicación de los nombres de directivos de empresas condenadas por prácticas anticompetencia no infringía el derecho a su honor, intimidad y propia imagen.

El Tribunal considera que la conducta castigada no se ha producido en el ámbito privado sino como consecuencia de su actividad profesional. Y que esa actuación se ha realizado de forma voluntaria en la empresa.

Sin embargo, esta opinión constituye una excepción. Normalmente se ha defendido que en las resoluciones administrativas y sentencias judiciales no deben aparecer los datos personales de los condenados puesto que eso supondría una vulneración de su derecho fundamental a la protección de datos.

Derecho a la protección de datos

Este derecho no se recoge expresamente en la Constitución. Pero, en el artículo 18, se garantizan el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Por tanto, el derecho a la protección de datos está relacionado y se deriva del derecho al honor y del derecho a la intimidad.

Y la protección de esos datos personales no es la misma si esa información personal se refiere a la vida privada y familiar de una persona que si afecta a la vida profesional. En este último caso, se considera que esa información personal no debe ocultarse.

El Código Penal considera el descubrimiento y revelación de secretos como un delito contra la intimidad y las calumnias e injurias como delitos contra el honor. Así, podemos evitar que otras personas accedan a nuestra esfera íntima y persona pero no que accedan a nuestros datos en el ámbito profesional.

Actuaciones judiciales públicas

La Constitución también establece que las actuaciones judiciales serán públicas y las sentencias se emitirán en audiencia pública, salvo excepciones prevista en la ley.

Por eso los juicios son públicos e incluso algunos son retransmitidos por televisión. Pero después las sentencias se publican con los datos seudonimizados.

No tiene sentido que en los medios de comunicación aparezcan los datos personales al informar de actuaciones judiciales y, luego, al publicarse la sentencia, los datos estén anonimizados.

Lo que supone una condena anticipada es que el nombre y apellidos del «presunto culpable» aparezca en medios y redes sociales antes de existir una sentencia. Eso vulnera el principio de presunción de inocencia y el derecho a la protección de datos.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.