Inicio
Protección de datos
Marginales
Procedimiento sobre el tratamiento de datos personales referidos a condenas e infracciones penales
Inicio
Protección de datos
Marginales
Procedimiento sobre el tr...es penales
Ver Indice
»

Última revisión
25/09/2023

datos

290 - Procedimiento sobre el tratamiento de datos personales referidos a condenas e infracciones penales

Tiempo de lectura: 12 min

Tiempo de lectura: 12 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 14/09/2023

Resumen:

El tratamiento de datos personales relacionados con condenas e infracciones penales, procedimientos, medidas cautelares y medidas de seguridad con objetivos diferentes a la prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, solamente se podrá realizar cuando se disponga en una norma del derecho de la Unión Europea, en la LOPDGDD o en otras leyes. Además, su tratamiento solo se podrá realizar bajo la vigilancia de las autoridades públicas o cuando lo apruebe el derecho de la Unión Europea o de los Estados miembros que dispongan garantías adecuadas para los derechos y libertades de los interesados en el tratamiento sus datos personales.

Tratamiento de datos de naturaleza penal

Artículo 10 de la LOPDGDD

«1. El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.

2. El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia.

3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones».

 A este respecto, debemos hacer las siguientes precisiones:

  • El tratamiento de datos personales relacionados con condenas e infracciones penales, procedimientos, medidas cautelares y medidas de seguridad con objetivos diferentes a la prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, solamente se podrá realizar cuando se disponga en una norma del derecho de la Unión Europea, en la LOPDGDD o en otras leyes.

A TENER EN CUENTA. Esta norma es la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, publicada en el BOE del 27 de mayo de 2021.

  • El registro completo de datos personales referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del sistema de registros administrativos de apoyo a la Administración de Justicia.
  • Fuera de los casos señalados, solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

CUESTIÓN

¿Qué preceptos de la LOPDGDD se refieren a los datos de infracciones penales?

La LOPDGDD se refiere a los datos de infracciones penales en los siguientes preceptos:

- Tratamiento con fines de videovigilancia (artículo 22.6 de la LOPDGDD).

- Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas (artículo 24 de la LOPDGDD). 

- Infracciones consideradas muy graves (artículo 72.1.f de la LOPDGDD).

- Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público (D.A. 12.ª de la LOPDGDD).

- Tratamientos sometidos a la Directiva (UE) 2016/680 (D.T. 4.ª de la LOPDGDD).

- Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y bien gobierno (D.F. 11.ª de la LOPD).

A TENER EN CUENTA. El sistema de registros administrativos de apoyo a la Administración de Justicia se regula por medio del Real Decreto 95/2009, de 6 de febrero. 

Tratamiento de datos personales relativos a condenas e infracciones penales 

Artículo 10 del RGPD

«1. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas».

Es decir, el tratamiento de datos personales relacionados con condenas, infracciones penales, medidas de seguridad relacionadas, solamente se podrá realizar bajo la vigilancia de las autoridades públicas o cuando lo apruebe el derecho de la Unión Europea o de los Estados miembros que dispongan garantías adecuadas para los derechos y libertades de los interesados en el tratamiento sus datos personales.

No obstante, son varios los considerandos del RGPD que tratan sobre las sanciones e infracciones penales:

a) Considerando 19 del RGPD:

«(...) Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.

(...) Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención».

b) Considerando 73 del RGPD:

«El Derecho de la Unión o de los Estados miembros puede imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales».

c) Considerando 75 del RGPD:

«Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas».

d) Considerando 80 del RGPD

«El responsable o el encargado del tratamiento no establecido en la Unión que esté tratando datos personales de interesados que se encuentran en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público».

e) Considerando 91 del RGPD:

«La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas».

f) Considerando 97 del RGPD:

«Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales».

g) Considerando 149 del RGPD:

«Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límites. Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia».

CUESTIONES

1. ¿Podrá existir más de un registro de sanciones penales?

No, tan solo podrá llevarse un registro completo de condenas penales sometido al control de las autoridades públicas (artículo 10 del RGPD).

2. ¿Qué artículos del RGPD aluden a los datos relacionados con condenas e infracciones penales?

El RGPD hace referencia a los datos relacionados con condenas e infracciones penales en los siguientes preceptos:

- Ámbito de aplicación material [artículo 2.2.d) del RGPD].

- Licitud del tratamiento [artículo 6.4.c) del RGPD].

- Tratamiento de datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD).

- Limitaciones [artículo 23.1.d) del RGPD].

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión [artículo 27.2.a) del RGPD].

- Registro de las actividades de tratamiento (artículo 30.5 del RGPD).

- Evaluación de impacto relativa a la protección de datos [artículo 35.3.b) del RGPD].

- Designación del delegado de protección de datos [artículo 37.1. c) del RGPD].

Como ejemplo, podemos citar la sentencia del Tribunal Supremo n.º 591/2018, de 23 de octubre, ECLI:ES:TS:2018:3594, que con ocasión de la publicación en un diario digital de una información sobre una condena penal, declara que:

«(...) la condena penal del hoy recurrente autorizaba que se le identificara con su nombre y apellidos una vez que ya gozaba de notoriedad pública y una vez que también eran ya de público conocimiento, además de su nombre y apellidos, su imagen (que él mismo aceptó no preservar al intervenir en comparecencias públicas ante los medios para informar de sus actuaciones profesionales), su condición de abogado de uno de los investigados en el mediático (...) y, en fin, todos los restantes datos susceptibles de afectar a su reputación relacionados con los hechos por los que fue condenado y que aparecían relatados en la sentencia puesta a disposición de los lectores. El enlace al contenido íntegro de esta sentencia comportaba una comunicación neutral de su contenido, sin añadir ni restar los demandados ningún elemento susceptible de desvirtuar el conocimiento objetivo de lo resuelto por el tribunal, aunque ciertamente afectara a la reputación del hoy recurrente. Pero esta afectación no era sino una consecuencia de la conducta previa y pública del propio recurrente, abogado de profesión, consistente en cuestionar públicamente al juez que instruía un caso de gran repercusión mediática».

CUESTIONES

1. ¿Qué norma regirá para la protección de datos en la captación de imágenes y sonidos por medio de cámaras y videocámaras por las fuerzas y cuerpos de seguridad?

En virtud del apartado sexto del artículo 22 de la LOPDGDD, «(...) para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica».

La legislación de transposición de la Directiva (UE) 2016/680 está constituida por la reciente Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, publicada en el BOE del 27 de mayo de 2021, entrando en vigor el 16 de junio de ese año, salvo las previsiones contenidas en el capítulo IV (obligaciones y responsabilidades de los responsables y encargados de protección de datos), que producirán efectos a los 6 meses de la entrada en vigor de la LO.

2. ¿Podrán los registros de personal del ámbito público tratar datos personales de naturaleza penal?

Sí, los registros de personal del sector púbico podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines (apartado segundo de la disposición adicional 12.ª de la LOPDGDD).

3. ¿Puede solicitarse a los trabajadores que acrediten carecer de antecedentes penales, aunque no lo regule ninguna norma legal?

No, el Tribunal Supremo ha señalado en su STS n.º 435/2022, de 12 de mayo, ECLI:ES:TS:2022:1860, que es contrario a derecho que las empresas de seguridad privada requieran a los trabajadores de nueva incorporación un certificado o declaración escrita de que carecen de antecedentes penales, por afectar a datos de carácter personal de naturaleza penal y no venir amparada en norma de rango legal. Esta práctica vulnera el derecho fundamental a la protección de datos, previsto en el artículo 18.4 de la Constitución Española, el artículo 8 del Convenio Europeo de Derechos Humanos y el art. 10 del Reglamento (UE) 2016/679.