Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
En fecha 16 de junio ha entrado en vigor, parcialmente, la Ley Orgánica 7/2021 mencionada, tras la dura sanción económica impuesta a España por el Tribunal de Justicia de la Unión Europea (STJUE 25 de febrero de 2021, C-658/19) al no haber transpuesto en tiempo la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
La LO 7/2021 regula el tratamiento de datos personales con fines jurisdiccionales penales (art. 2.1 LO 7/2021 y art. 236 ter 2 LOPJ). Recordemos que, en nuestro ordenamiento jurídico, el tratamiento con fines no jurisdiccionales se contiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adaptó el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679). La Ley Orgánica 3/2018 derogaba –salvo puntuales excepciones- la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Objeto.
Según establece el artículo 1, esta Ley Orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Ámbito de aplicación.
El tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Expresamente se contiene que se rige por esta Ley Orgánica el tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, en el ámbito del artículo 1, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.
Finalidad.
La finalidad principal es que los datos sean tratados por estas autoridades competentes de manera que se cumplan los fines prevenidos, así como establecer mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de forma que se cumpla lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.
Se incluyen determinadas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la precitada Ley Orgánica 3/2018, de 5 de diciembre.
Autoridades competentes.
Será autoridad competente, toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales relacionados con el objeto de la misma. En particular, tendrán esa consideración, en el ámbito de sus respectivas competencias, las siguientes autoridades:
- a) Las Fuerzas y Cuerpos de Seguridad.
- b) Las Administraciones Penitenciarias.
- c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.
- d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
- e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
También tendrán consideración de autoridades competentes las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.
Todo ello, sin perjuicio de que los tratamientos que se lleven a cabo por los órganos jurisdiccionales se rijan por lo dispuesto en esta Ley Orgánica, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales penales.
Principios relativos al tratamiento de datos personales.
Conforme al artículo 6, los datos personales serán:
- a) Tratados de manera lícita y leal.
- b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.
- c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.
- d) Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación indebida, los datos personales que sean inexactos con respecto a los fines para los que son tratados.
- e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.
- f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas.
Es importante destacar que los datos personales recogidos por las autoridades competentes no serán tratados para otros fines distintos de los establecidos en el artículo 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por la legislación española. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.
Lógicamente, para adecuar otras normas a la presente Ley Orgánica, se modifica la Ley Orgánica del Poder Judicial, la Ley que regula el Estatuto Orgánico del Ministerio Fiscal y la Ley Orgánica Penitenciaria entre otras.
Por último, señalar que la presente regulación prevé que los interesados que sufran daño o lesión en sus bienes o derechos por parte del encargado del tratamiento que no forme parte del sector público, como consecuencia del incumplimiento de lo dispuesto en esta Ley Orgánica, tendrán derecho a ser indemnizados. Del mismo modo establece un régimen sancionador cuyas multas pueden ascender hasta el millón de euros