Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

FELIPE VI

REY DE ESPAÑA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley orgánica:

PREÁMBULO

I

La Unión Europea es un espacio en el que los estándares y las garantías de protección de los derechos de las personas físicas a la protección de los datos personales se encuentran en la vanguardia internacional y constituyen un referente mundial. El rápido desarrollo tecnológico, especialmente de Internet, así como la creciente globalización de la economía mundial y europea han hecho imprescindible abordar la reforma del marco jurídico de la protección de datos, al objeto de consolidar e incluso mejorar este elevado nivel de protección a través de la creación de un marco legislativo nuevo, adaptado a la realidad cambiante, al tiempo que sólido, coherente e integral. En definitiva, un entorno normativo para un mundo globalizado y digital.

En este sentido, la Comunicación de la Comisión Europea «Un enfoque global de la protección de los datos personales en la Unión Europea», de 4 de noviembre de 2010, precedida de un intenso periodo de consultas durante más de dos años con los Estados miembros, el público en general, así como con los distintos sectores afectados, sentó las bases de lo que sería esta nueva perspectiva normativa.

El marco normativo resultante consta, principalmente, de dos instrumentos: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que sustituye a una norma vigente desde hacía más de veinte años, y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

En nuestro ordenamiento jurídico, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, adaptó el Reglamento General de Protección de Datos, en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.

II

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, objeto de transposición por esta Ley Orgánica, deroga la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, que había sido superada por varias razones.

En primer lugar, se trataba de una norma previa al Tratado de Lisboa que requería de su oportuna adaptación a los nuevos Tratados, en particular, al artículo 16 del Tratado de Funcionamiento de la Unión Europea, que exige que el Consejo y el Parlamento Europeo, a través del procedimiento legislativo ordinario, regulen la protección de los datos personales.

En segundo término, la decisión marco se aprobó conforme a la estructura de pilares de la Unión Europea, previa al Tratado de Lisboa, por lo que contaba con un ámbito de aplicación limitado exclusivamente al tratamiento de datos personales de carácter transfronterizo entre los Estados miembros, sin alcanzar, por tanto, a los tratamientos de carácter estrictamente nacional.

Asimismo, otorgaba una amplísima capacidad de maniobra a los Estados miembros, sin asegurar un nivel mínimo de armonización deseable en determinados ámbitos, como el reconocimiento en todos los Estados del derecho de acceso de los interesados a sus propios datos, el principio del tratamiento de los datos para fines determinados o las condiciones para las transferencias internacionales.

En definitiva, la fragmentación y complejidad de la regulación en este campo perjudicaba la necesaria confianza entre los actores de la cooperación policial y judicial penal en Europa, quienes mostraban recelos a compartir información, entre otros motivos, por la ausencia de una mínima armonización en cuanto a la protección de los datos de carácter personal; unos datos que resultan esenciales en el terreno de la cooperación operativa.

III

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, subsana estas deficiencias, ampliando su ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de la cooperación policial y judicial penal. Toda vez que cubre otras carencias de la normativa europea anterior, dado que incluye la regulación de los datos genéticos –que reclamaba el Tribunal Europeo de Derechos Humanos-, así como la distinción entre los datos personales según su grado de exactitud y fiabilidad, o la diferenciación entre distintas categorías de interesados.

Resulta pertinente poner de relieve que la citada directiva que transpone esta Ley Orgánica se aprobó como respuesta a las crecientes amenazas para la seguridad en el contexto nacional e internacional, que tienen, en numerosos casos, un componente transfronterizo. Por esta razón, la cooperación internacional y la transmisión de información de carácter personal entre los servicios policiales y judiciales de los países implicados se convierten en un objetivo ineludible. En efecto, los atentados terroristas de Nueva York en 2001 supusieron un punto de inflexión en la necesidad de reforzar la cooperación judicial y policial en la lucha contra el terrorismo, como volvería a ponerse de manifiesto con ocasión de los atentados de Bruselas y Niza en 2016.

La cooperación encaminada a compartir a tiempo la información operativa precisa se erige en un requisito de eficacia en la prevención y lucha contra este tipo de amenazas. Todo ello, teniendo en cuenta el estado de la técnica, que permite, en la actualidad, tratamientos de datos a gran escala en el ámbito de la seguridad.

Este intercambio de información debe realizarse, en todo caso, de manera que se garanticen los principios democráticos y la seguridad de las personas a lo largo de las fases del tratamiento.

En consecuencia, esta Ley Orgánica asume la finalidad de lograr un elevado nivel de protección de los derechos de la ciudadanía, en general, y de sus datos personales, en particular, que resulte homologable al del resto de los Estados miembros de la Unión Europea, incorporando y concretando las reglas que establece la directiva.

En este sentido, la Constitución española fue precursora del reconocimiento y la defensa del derecho fundamental a la protección de datos personales. Así, el artículo 18.4 de nuestra norma fundamental dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de la ciudadanía y el pleno ejercicio de sus derechos. El Tribunal Constitucional, en reiterada jurisprudencia, entiende la protección de datos como un derecho fundamental que garantiza a toda persona la capacidad de controlar el uso y destino de sus datos, con el propósito de evitar el tráfico ilícito o lesivo de los mismos o una utilización para fines distintos de los que justificaron su obtención.

Por todo ello, la transposición de esta directiva por los Estados miembros supone el establecimiento de un marco jurídico consistente, que proporciona la seguridad jurídica necesaria para facilitar la cooperación policial y judicial penal y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y de nuestro sistema judicial penal en su conjunto, incluido el penitenciario.

IV

Esta Ley Orgánica consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición transitoria, una disposición derogatoria y doce disposiciones finales.

El capítulo I, relativo a las disposiciones generales, define el objeto de la Ley Orgánica, entendiéndose como la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que, a efectos de esta Ley Orgánica, tengan la consideración de autoridades competentes.

La finalidad principal es que los datos sean tratados por estas autoridades competentes de manera que se cumplan los fines prevenidos a la par que establecer los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de forma que se cumpla lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.

Asimismo, en correspondencia con lo que dispone el artículo 22.6 de la Ley Orgánica 3/2018, de 5 de diciembre, cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en esta Ley Orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta Ley Orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos. De este modo, se establece un nuevo sistema que gira en torno a las obligaciones de los responsables del tratamiento y a las distintas misiones que se les asignan.

Aunque se deben excluir con carácter general, se incluyen igualmente algunas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la precitada Ley Orgánica 3/2018, de 5 de diciembre.

Las autoridades competentes, a efectos de esta Ley Orgánica, se definen como autoridades públicas con competencias legalmente encomendadas para la consecución de los fines específicos incluidos en el ámbito de aplicación. En concreto, se determina que serán autoridades competentes: las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Todo ello, sin perjuicio de que los tratamientos que se lleven a cabo por los órganos jurisdiccionales se rijan por lo dispuesto en esta Ley Orgánica, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales penales.

Se excluyen expresamente del ámbito de aplicación ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los cubiertos por la Ley Orgánica; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común; los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea; y los sometidos a la normativa sobre materias clasificadas. Entre estos últimos se mencionan expresamente como incluidos los tratamientos relativos a la Defensa Nacional.

El capítulo II se refiere a los principios de protección de datos cuya garantía corresponde al responsable del tratamiento. Estos principios se regulan en términos similares a lo establecido en el Reglamento General de Protección de Datos, con algunas especialidades propias del ámbito de esta Ley Orgánica.

Se incluye un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Todo ello, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Esta última precisión resulta fundamental para evitar que la puesta de la información a disposición del interesado pueda poner en peligro los fines que, de acuerdo con la directiva y esta Ley Orgánica, justifican el tratamiento de los datos.

Se regulan, también, los plazos de conservación y de revisión de los datos de carácter personal tratados, siendo relevante el establecimiento de un plazo máximo de conservación de los datos con carácter general y la implantación de un sistema que permite al responsable revisar, en el plazo que el mismo establezca dentro del margen legal, la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de sus actividades de tratamiento. El responsable deberá, en sus tratamientos, distinguir los datos que correspondan a las diversas categorías de interesados, tales como los sospechosos, los condenados o los sancionados, las víctimas o los terceros involucrados, así como diferenciar, en la medida de lo posible, si los datos que trata son datos basados en hechos o en apreciaciones.

Se exigen igualmente ciertas condiciones que determinan la licitud de todo tratamiento de datos de carácter personal, esto es, que sean tratados por las autoridades competentes; que resulten necesarios para los fines de esta Ley Orgánica y que, en caso necesario y en cada ámbito particular, se especifiquen las especialidades por una norma con rango de ley que incluya unos contenidos mínimos.

En el supuesto de transmisión de datos sujetos a condiciones específicas de tratamiento, dichas condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos para los que fueron transmitidos.

De igual modo, se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones.

Los datos biométricos (como las huellas dactilares o la imagen facial) sólo se consideran incluidos en esta categoría especial cuando su tratamiento está dirigido a identificar de manera unívoca a una persona física. Esta necesidad de identificación en las actuaciones amparadas legalmente se lleva a cabo, con frecuencia, por las distintas autoridades competentes. El propósito es singularizar los autores o partícipes de infracciones penales, así como poder reconocer si son las personas que se supone o se busca, y de esta forma, atribuir o exonerar, sin género de dudas, la participación en determinados hechos, gracias a posibles indicios o vestigios biométricos.

Habida cuenta de la vertiginosa evolución tecnológica y los medios electrónicos de los que se dispone, se incluye la habilitación legal que facilite una respuesta rápida y adecuada en el uso de estos datos, con el objetivo final de garantizar y proteger los derechos de los interesados y de la ciudadanía en general.

Se prohíbe, igualmente, la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley del ordenamiento jurídico español o europeo.

El capítulo III, se divide en dos secciones y aborda los derechos de las personas. Regula una serie de condiciones generales del ejercicio de los derechos, tales como la obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se establece la información que debe ponerse a disposición del interesado, siendo algunos datos obligatorios, en todo caso, y otros en casos concretos.

Se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento. En virtud de tales derechos se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos o estos datos deban conservarse únicamente a efectos probatorios.

Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados casos, a través de la autoridad de protección de datos.

Dispone esta Ley Orgánica que estos derechos pueden ser restringidos por ciertas causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional.

Se establece, en su sección segunda, un régimen especial de derechos de los interesados en el marco de investigaciones y procesos penales.

El capítulo IV recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos, a lo largo de tres secciones. El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas.

El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable, debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.

Todo responsable y encargado del tratamiento deberá conservar un registro de actividades de tratamiento, con datos identificativos, tales como los datos de contacto del responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y las transferencias de los datos personales entre otras operaciones. Asimismo, están obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación vigente.

Se establecen ciertas obligaciones que responden a un nuevo modelo de responsabilidad activa que exige una valoración previa del riesgo que pudiera generar el tratamiento de los datos de carácter personal para los interesados, para, a partir de dicha valoración, adoptar las medidas que procedan.