Protección de datos personales para fuerzas y cuerpos de seguridad

PROTECCIÓN DE DATOS

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES

La aparición del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 hizo que se derogase la Directiva 95/46/CE, haciéndose efectivo el 25 de mayo de 2018.

En España, entra en vigor el 7 de diciembre de 2018, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digita, para así adaptar nuestro ordenamiento jurídico al Reglamento General de Protección de Datos del que hemos hablado anteriormente.

Recordad que en el articulo 18.4 de la Constitución Española estudiabamos que "la ley limitara el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos", algo que trata a su vez la Ley que estamos estudiando en este tema en relación a la protección de las personas físicas y el tratamiento de sus datos personales.

Las personas deben poder tener el control sobre sus datos, el uso que estos tengan y el destino, haciendo que pueda decidir cuáles de esos datos quiere proporcionar a un tercero o incluso oponerse a su uso, esto es un derecho fundamental recogido por el Tribunal Constitucional. Es por ello por lo que esta Ley Orgánica tiene como objetivo:

• a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
• b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

Es cierto que existen una serie de datos personales que se encuentras excluidos dentro de esta ley, siendo los siguientes:

1. Los realizados en el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de la Unión Europea.
2. Los efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
3. Los tratamientos de datos de personas fallecidas.
4. Los sometidos a la normativa sobre protección de materias clasificadas
5. Aquellos a los que no sea aplicable el Reglamento (UE) 2016/679 y que se regirán por lo dispuesto en su legislación específica. Se especifican como tales actividades las siguientes:
   • Tratamiento de datos realizados al amparo de la legislación orgánica del régimen electoral general.
   • Tratamientos de datos en el ámbito de instituciones penitenciarias.
   • Tratamientos derivados del Registro Civil.
   • Tratamientos derivados del Registro de la Propiedad y Mercantil.
   • Tratamientos de datos realizados por una autoridad pública para investigar, prevenir o enjuiciar infracciones penales o para ejecutar sanciones.

Estas autoridades serían las autoridades judiciales y las Fuerzas y Cuerpos de Seguridad. El tratamiento de estos datos debe hacerse teniendo en cuenta la normativa europea de referencia que es la Directiva (UE) 2016/680, de 27 de abril de 2016, para la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y su transposición al ordenamiento jurídico español a través de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Sin embargo, todo el tratamiento de datos llevado a cabo por los órganos judiciales, Oficina Judicial, el Ministerio Fiscal y la Oficina Fiscal se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, y de las normas procesales que le sean aplicables.

DEFINICIÓN DE DATOS

Es el artículo 4 del Reglamento el que define:

• Datos personales: información sobre una persona física identificada o identificable (esa cuya identidad se pueda determinar de manera directa o indirecta).
• Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona.
• Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan la identificación.
• Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física.

DATOS DE PERSONAS FALLECIDAS

Esta Ley, en su artículo 2, excluye de su ámbito de aplicación el tratamiento de los datos de las personas fallecidas, aunque menciona la posibilidad de que las personas que esten vinculadas al fallecido por razones familiares puedan solicitar el acceso, rectificación o supresión de los datos del fallecido ante el encargado o responsable del tratamiento de los datos, salvo cuando la persona fallecida lo hubiese prohibido expresamente o lo establezca una ley.

PRINCIPIOS DE PROTECCIÓN DE DATOS

• Exactitud de los datos. Los datos siempre van a ser exactos, y si fuera necesario, actualizados como bien se expresa en el artículo 5. Es esta Ley la que establece una serie de supuestos en los que no será imputable al responsable del tratamiento la inexactitud de los datos personales, siempre que haya adoptado todas las medidas para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos.
• Deber de confidencialidad. Por parte de los responsables y encargados del tratamiento de datos, así como de todos aquellos que intervengan en cualquier fase, para garantizar que los datos cuenten con una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
• Consentimiento del afectado. Resulta imprescindible que se produzca una declaración de voluntad libre, específica, informada e inequívoca del interesado en la que otorgue su conformidad para poder considerar que dicho consentimiento es expreso. El interesado podrá retirar su consentimiento en cualquier momento, sin que afecte a la legalidad del tratamiento de los datos basados en el consentimiento que había dado previamente.
• Consentimiento de los menores de edad. El tratamiento de los datos personales por parte de los servicios de la sociedad de la información en menores de edad será legal siempre que tengan más de 16 años. Sin embargo, el Reglamento permite rebajar esta edad y que cada Estado miembro establezca la suya propia, fijando un límite no inferior en ningún caso a los 13 años (*).

(*) En el caso de España, mantiene la edad establecida en 14 años; siempre que sean menores de estos 14 años, deberán necesitar el consentimiento del titular de la patria potestad o tutela, haciendo el responsable del tratamiento todo lo posible para verificar que ese consentimiento es veraz.

• Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos. Solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable cuando asi lo prevea una norma de Derecho de la unTon Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo, así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, como la adopción de medidas adicionales de seguridad.
• Categorías especiales de datos. Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a las orientaciones sexuales de una persona física. Para ello el interesado debe dar su consentimiento explícito.
• Datos de naturaleza penal. Se limita el tratamiento de los datos penales como condenas, infracciones y medidas cautelares para fines diferentes a la prevención, investigación o enjuiciamiento. Este registro será responsabilidad de la Administración de Justicia y fuera de ese ámbito, el tratamiento de esos datos solo puede ser utilizado por abogados OF procuradores en el ejercicio de sus funciones.

DERECHOS DE LAS PERSONAS

Se tratan en el artículo 11, donde se regula la transparencia e información al afectado; el responsable del tratamiento debe facilitar al afectado la información básica sobre el tratamiento de los datos, facilitando una dirección electrónica u otro medio que le permita acceder de forma sencilla e inmediata a esos datos.

Esta Ley amplía los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición), que ya habían sido desarrollados por el Reglamento en sus artículos 15 al 22, añadiendo el derecho de supresión, portabilidad de datos y el derecho a la limitación a su tratamiento y sustituyendo el derecho de cancelación por el derecho de supresión.