¿QUIENES ESTÁN LEGITIMADOS PARA EL TRATAMIENTO DE DATOS PERSONALES DE NATURALEZA PENAL?
Para dar respuesta a esta cuestión y no perdernos en la enmarañada forma en la que se ha regulado a los efectos de la protección de datos de carácter personal, debiéramos partir de la distinción de dos grandes grupos de datos de naturaleza penal:
- De infracciones y condenas penales o medidas de seguridad conexas.
- De prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
1. Datos de infracciones y condenas penales, o medidas de seguridad conexas.
Para el tratamiento de datos relativos a infracciones y condenas penales o medidas de seguridad conexas[1], el artículo 10 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), en semejante sentido al artículo 8.5 Directiva 95/46/CE[2], dispone las siguientes limitaciones:
- Sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas.
- Cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
Dispuesto así, a priori y como regla general, este tipo de datos únicamente pueden ser tratados bajo la supervisión o control de las autoridades públicas. De manera que, las entidades privadas u otras que no gocen de la condición de autoridad pública no están facultadas para tratar datos relativos a infracciones y condenas penales.
Ahora bien, al decirnos después que si el Derecho, de la Unión o el nacional, autorizan el tratamiento de estos datos, estableciendo las garantías adecuadas para los derechos y libertades de los interesados, puede darnos a entender que nos sólo las autoridades públicas están facultadas, sino también podrían estar las entidades privadas[3], como después profundizaré.
Antes, decir que si atendemos al Artículo 10.1 del Proyecto de Ley Orgánica de Protección de Datos nos encontramos que el legislador español no parte de la regla general del RGPD, sino que nos dice que el “tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.”
Por un lado, vemos que no sólo se ciñe a datos de infracciones y condenas penales o medidas de seguridad conexas, sino que también entiende como datos de naturaleza penal los relativos a procedimientos y medidas cautelares.
Y, por otro lado, aquí no parte, como digo, de la regla general (artículo 10 RGPD), esto es, de que deberán ser tratados sólo bajo la supervisión o control de las autoridades públicas, sino que “podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” a cuya disposición faltaría añadir, la prevista por el Reglamento europeo, esto es, cuando dichas normas establezcan las garantías adecuadas para los derechos y libertades de los interesados.
Con todo esto, entendemos que tanto el legislador español como el europeo están siendo conscientes de que no sólo las autoridades públicas pueden estar tratando datos de naturaleza penal (relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas) sino que también pueden ser objeto de tratamiento por entidades privadas u otras que no ostenten la condición de autoridad pública. Estas entidades que no revisten el carácter de autoridad pública, quedarían así autorizadas para el tratamiento de estos datos, siempre y cuando la legislación europea o nacional, regulen al respecto, introduciendo las garantías adecuadas para los derechos y libertades de los interesados.
Por tanto, podemos decir que las autoridades públicas son las únicas competentes para el tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas. Pero, también se admitirá el tratamiento hecho por entes privados, en el caso de que lo regule una norma de Derecho de la Unión, la ley orgánica española o en otras normas de rango legal, introduciendo las garantías adecuadas para los derechos y libertades de los interesados.
Por poner un ejemplo en la práctica, nos encontraremos, por una parte, con que “Las autoridades judiciales comunicarán al Registro de Conductores e Infractores del organismo autónomo Jefatura Central de Tráfico, en el plazo de los quince días naturales siguientes a su firmeza, las penas de privación del derecho a conducir vehículos a motor y ciclomotores que se impongan por la comisión de delitos contra la seguridad vial”[4].
De este modo, el Jefatura Central de Tráfico es el organismo público autónomo autorizado para llevar un registro de datos relativos a las infracciones de tráfico, administrativas y penales.
Y, por otra parte, nos encontramos con que las empresas dedicadas a la defensa de los conductores sancionados aglomeran, a nivel informático y en papel, información relativa a la/s infracción/es cometidas por éstos. Pero, una cosa es que dispongan de esta información a nivel de expediente del afectado, para la llevanza del asunto, y otra cosa bien distinta es que dicha empresa no puede crear un fichero o registro con los datos de infracciones cometidas por todos a quienes prestan el servicio.
Y esto mismo pudiéramos decir, en general, del tratamiento de datos personales realizado por los Letrados penalistas, para la defensa jurídica de los casos encomendados.
Foto ficha policial Al Capone
Así como, ahora un centro educativo está obligado a conservar los certificados negativos de antecedentes penales del personal, pero no puede, obviamente, crear un fichero o registro con este tipo de información. En este caso, es la autoridad pública la única autorizada a tratar estos datos de naturaleza penal, a través del Registro Central de Delincuentes Sexuales[5] y, en general, el Registro de Penados y Rebeldes.
En cualquier caso, sí es oportuno decir que tanto las entidades públicas como las privadas debieran someter este tratamiento de datos personales a una Evaluación de Impacto (EIPD). Si bien los datos de naturaleza penal no están comprendidos entre los de categoría especial (artículo 9 RGPD) y no es de los supuestos obligados a dicha evaluación (artículo 35 RGPD), un tratamiento a gran escala de los mismos hace aconsejable un análisis de riesgos en tal sentido.
2. Datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
De acuerdo con el Considerando (19) RGPD “La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines.”
Aquí nos encontramos con que no se habla de «condenas e infracciones penales o medidas de seguridad conexas», sino que se refiere a «prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención».
Pues bien, arreglo a dicho Considerando, en caso de que los datos se destinen a tales fines, las autoridades públicas se regirán, para el tratamiento de esta tipología de datos, por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo[6]
De este modo, se ha delimitado el ámbito material de aplicación del RGPD, al establecer que “El presente Reglamento no se aplica al tratamiento de datos personales: … d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.” (Artículo 2.2 RGPD).
Del mismo modo, el Artículo 2 del Proyecto de Ley Orgánica de Protección de Datos, definiendo el ámbito de aplicación establece que << A los tratamientos efectuados por parte de las autoridades competentes y sus agentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención, en los términos previstos por la Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y por la legislación que la transponga.>>
Por tanto, las autoridades públicas serán las únicas competentes para el tratamiento de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
No obstante, nos dice después el Considerando (19) RGPD, que si los Estados miembros encomiendan a dichas autoridades públicas competentes funciones, que comporten un tratamiento de los datos de naturaleza penal, con fines distintos a los mencionados (prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención), en la medida en que esté incluido en el ámbito del Derecho de la Unión, estarán dentro del ámbito de aplicación del Reglamento europeo.
Y es que, arreglo al citado Considerando, “los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión.”
Ahora bien, el Considerando (19) RGPD, termina diciendo que “Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica. “
Esto corrobora cuanto hemos estado mencionando, pues el legislador europeo ha tenido presente el tratamiento de datos personales relativos a la «detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales», por parte de entes o profesionales privados, como, por ejemplo, por parte de quienes su participación es necesaria u obligatoria en la lucha contra el blanqueo de capitales[7].
Tras todo este despiece, muestro, de manera sinóptica, el resultado de quién y bajo qué régimen jurídico puede tratar los datos de naturaleza penal:
Por último, el Artículo 10 RGPD, de forma categórica, establece que “Sólo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.”
A la vista de cómo se ha recogido en el Artículo 10.2 del Proyecto de Ley Orgánica de Protección de Datos, la autoridad pública a quien atribuye la competencia, para llevar a cabo el tratamiento de datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas y mantendrá registros completos de dichos datos, es el Ministerio de Justicia.
[1] Por <<medidas de seguridad conexas>> deberemos atender, en nuestro caso, a los artículos 95, 96 y 87 del Código Penal. En concreto, el artículo 96 CP recoge estas medidas de seguridad, diferenciándose entre las penas privativas de libertad y las no privativas de libertad << 2. Son medidas privativas de libertad: (1. ª) El internamiento en centro psiquiátrico (2. ª) El internamiento en centro de deshabituación. (3. ª) El internamiento en centro educativo especial/ 3. Son medidas no privativas de libertad: (1. ª) La inhabilitación profesional.(2.ª) La expulsión del territorio nacional de extranjeros no residentes legalmente en España.(3.ª) La libertad vigilada.(4.ª) La custodia familiar. El sometido a esta medida quedará sujeto al cuidado y vigilancia del familiar que se designe y que acepte la custodia, quien la ejercerá en relación con el Juez de Vigilancia Penitenciaria y sin menoscabo de las actividades escolares o laborales del custodiado.(5.ª) La privación del derecho a conducir vehículos a motor y ciclomotores.(6.ª) La privación del derecho a la tenencia y porte de armas.>>
[2] Artículo 8.5 Directiva 95/46/CE << El tratamiento de datos relativos a infracciones, condenas penales y medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas del Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevengan garantías apropiadas y específicas. Sin embargo, sólo podrá levarse un registro completo de condenas penales bajo el control de los poderes públicos. Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos>>.
[3] “En este caso, el precepto es más permisivo, toda vez que determina la posibilidad de intervención del sector privado, cuando expresamente lo autorice el Derecho de la Unión o de los Estados miembros que establezca siempre que concurran las garantías adecuadas para preservar los derechos y libertades de los interesados” PUYOL MOTERO, Javier. Capítulo IX “Los principios del derecho a la protección de datos”. “Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad”. Edit. Reus. 2016. Pp.149
[4] Artículo 113.2 del Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial. – Boletín Oficial del Estado de 31-10-2015
[5] Real Decreto 1110/2015, de 11 de diciembre, por el que se regula el Registro Central de Delincuentes Sexuales.
[6] Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación. A fin de garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial, es esencial asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros.
[7] Véase todo el elenco de sujetos obligados que recoge el artículo 2 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
Patricio (Patrick), Monreal Vilanova
Legal Advisor – Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
