1760 - ¿Dónde se regula la protección de los datos personales en el ámbito de la Administración de Justicia?

Marco normativo del tratamiento de datos personales en la Administración de Justicia

En el ámbito de la Administración de Justicia se opera con una gran variedad de datos personales que requieren un tratamiento que tiene determinadas especialidades. Podemos citar como normas más destacadas que regulan este tema:

• El art. 18.4 y el art. 118 de la CE.
• El art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).
• La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
• El Reglamento (UE) 2018/1725, del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• La Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, modificada por la Ley Orgánica 7/2015, que en el capítulo I bis del título III del libro III regula la protección de datos de carácter personal en el ámbito de la Administración de Justicia.
• La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El RGPD dedica el considerando 19 al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, remitiéndose a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo. Reconociendo la posibilidad de que los Estados miembros puedan, en determinadas condiciones específicas, limitar determinadas obligaciones y derechos, siempre que dicha limitación sea una medida necesaria y proporcionada para proteger intereses específicos importantes, citando entre otros: la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención.

Por su parte, el considerando 20 dispone que: 

«Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos».

Por tanto, el proceso penal solo se regula por el RGPD y la LOPDGDD de manera supletoria, ya que su regulación principal sería la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, y la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Por su parte, la Ley Orgánica del Poder Judicial en su artículo 236 ter establece que: 

«1. El tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y su normativa de desarrollo, sin perjuicio de las especialidades establecidas en el presente Capítulo y en las leyes procesales.

2. En el ámbito de la jurisdicción penal, el tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de los procesos, diligencias o expedientes de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en la Ley Orgánica de protección de datos personales tratados con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, sin perjuicio de las especialidades establecidas en el presente Capítulo y en las leyes procesales y, en su caso, en la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.

3. No será necesario el consentimiento del interesado para que se proceda al tratamiento de los datos personales en el ejercicio de la actividad jurisdiccional, ya sean éstos facilitados por las partes o recabados a solicitud de los órganos competentes, sin perjuicio de lo dispuesto en las normas procesales para la validez de la prueba».

En cuanto al tratamiento de datos con fines no jurisdiccionales, la LOPJ se remite al RGPD, a la LOPDGDD y su normativa de desarrollo.

Disposiciones específicas aplicables al tratamiento de datos en la Administración de Justicia

La LOPDGDD, en su artículo 10, aborda el tema del tratamiento de datos de naturaleza penal y lo hace aludiendo al tratamiento de los datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, disponiendo que en estos casos solo podrá llevarse a cabo cuando se encuentre amparado en una norma de derecho de la Unión, en la propia LOPDGDD o en otra norma de rango legal.

También se recoge que podrá realizar conforme a lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia, el registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexa.

Fuera de estos dos supuestos, la LOPDGDD señala que «los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones».

La Ley Orgánica del Poder Judicial, por su parte, recoge distintos aspectos del tratamiento de los datos personales en la Administración de Justicia. El art. 236 quinquies recoge que los jueces, magistrados, fiscales y letrados de la Administración de Justicia podrán adoptar las medidas necesarias para suprimir los datos personales de las resoluciones y demás documentos a los que puedan acceder las partes durante el proceso, siempre que estos no sean necesarios para garantizar el derecho a la tutela judicial efectiva, ni pueda producirse por ello indefensión.

Añade también que los datos personales que las partes, y los profesionales que las representan y asisten, han conocido a través del proceso, habrán de ser tratados por estas de conformidad con la normativa general de protección de datos.

Con relación a los derechos de información, acceso, rectificación, supresión, oposición y limitación, la LOPJ establece una diferencia entre los datos personales con fines jurisdiccionales y los datos personales con fines no jurisdiccionales. En cuanto a los primeros, con fines jurisdiccionales, se tramitarán conforme a las normas que resulten de aplicación al proceso en el cual los datos fueron recabados, y habrán de ejercitarse ante los órganos judiciales, fiscalías u oficina judicial en los que se tramita el procedimiento. En cuanto a los segundos, los datos con fines no jurisdiccionales, los derechos habrán de ejercitarse en los términos establecidos en la normativa general de protección de datos.

CUESTIÓN

¿Puede accederse a los datos personales que estén siendo objeto de tratamiento con fines jurisdiccionales cuando se haya declarado el secreto de las actuaciones?

El artículo 236 septies de la LOPJ, en su punto segundo, dispone que en todo caso se denegará el acceso a los datos objeto de tratamiento con fines jurisdiccionales cuando las diligencias procesales en que se haya recabado la información sean o hayan sido declaradas secretas o reservadas.

Corresponden al Consejo General del Poder Judicial y a la Fiscalía General del Estado las siguientes funciones con respecto al tratamiento de datos con fines jurisdiccionales por los juzgados, tribunales, fiscalías y oficinas judicial y fiscal (artículo 236 octies de la LOPJ):

• Supervisar el cumplimiento de la normativa de protección de datos personales mediante el ejercicio de la labor inspectora otorgada en la LOPJ y el Estatuto Orgánico del Ministerio Fiscal.
• Promover la sensibilización de los profesionales de la Administración de Justicia y su comprensión de los riesgos, normas, garantías, derechos y obligaciones en relación con el tratamiento.
• Emitir un informe sobre los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la oficina judicial y fiscal.
• Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en materia de protección de datos.
• Tramitar y responder las reclamaciones presentadas por un interesado o por asociaciones, organizaciones y entidades que tengan capacidad procesal o legitimación para defender intereses colectivos, en los términos que determinen las leyes de aplicación al proceso en que los datos fueron recabados. Se informará al reclamante sobre el curso y resultado de la reclamación en un plazo razonable, previa realización de la investigación oportuna si se considera necesario.

Cuando se trate de datos no jurisdiccionales serán competencia de la Agencia Española de Protección de Datos.

Tanto el Consejo General del Poder Judicial, como la Fiscalía General del Estado y la Agencia Española de Protección de Datos deben de colaborar para lograr el adecuado ejercicio de sus respectivas competencias en materia de protección de datos personales en la Administración de Justicia. 

CUESTIÓN

¿Qué debe hacer la autoridad competente (Consejo General del Poder Judicial, Fiscalía General del Estado o Agencia Española de Protección de Datos) cuando en el transcurso de una investigación sobre una posible infracción de la normativa de protección de datos aparezcan indicios que conlleven la competencia de otra autoridad?

Cuando con ocasión de la realización de actuaciones de investigación relacionadas con la posible comisión de una infracción de la normativa de protección de datos, las ya citadas autoridades competentes apreciasen la existencia de indicios que supongan la competencia de otra autoridad, darán inmediatamente traslado a esta última a fin de que prosiga con la tramitación del procedimiento (art. 236 octies apartado 4). El 6 de julio de 2017 se firmó un Convenio de colaboración entre el Consejo General del Poder Judicial y la Agencia Española de Protección de Datos sobre colaboración en el ejercicio de las funciones propias de las autoridades de control en materia de protección de datos, que dispone que, en estos casos, se dará inmediatamente traslado de toda la información y documentación que hubieran recabado a la otra autoridad, a fin de que se prosiga con la tramitación del procedimiento.

A TENER EN CUENTA. El art. 236 decies de la LOPJ dispone que: «Los tratamientos de datos llevados a cabo por el Consejo General del Poder judicial y la Fiscalía General del Estado en el ejercicio de sus competencias quedarán sometidos a lo dispuesto en la legislación vigente en materia de protección de datos personales. Dichos tratamientos no serán considerados en ningún caso realizados con fines jurisdiccionales».

Análisis de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos

Esta normativa se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

El artículo 4 de la citada directiva establece los principios que serán aplicables al tratamiento de los datos personales, disponiendo que estos serán:

• Tratados de manera lícita y leal.
• Recogidos con fines determinados, explícitos y legítimos.
• Adecuados, pertinentes y no excesivos con relación a los fines para los que son tratados.
• Exactos y actualizados (cuando fuese necesario), adoptando las medidas razonables para eliminar o rectificar los datos inexactos.
• Conservados de forma tal que se permita identificar al interesado durante un período no superior al necesario.
• Garantizando una seguridad adecuada de los datos personales.

Solo se permitirá el tratamiento de los datos personales para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, distintos de aquellos para los que han sido recogidos cuando se den dos requisitos:

1. Que el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el derecho de la Unión o del Estado miembro.
2. Que el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el derecho de la Unión o del Estado miembro.

La sentencia del TJUE n.º C-205/21, de 26 de enero de 2023, ECLI:EU:C:2023:49, se ha pronunciado sobre la interpretación de la mentada Directiva (UE) 216/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, entendiendo que el art. 6.a) de la misma debe interpretarse en el sentido de que no se opone a una normativa nacional que establezca que, en caso de que la persona investigada por un delito público doloso se niegue a colaborar voluntariamente en la recogida de sus datos biométricos y genéticos a efectos de su registro, el órgano jurisdiccional penal competente está obligado a autorizar una medida de recogida forzosa, sin poder apreciar si existen motivos fundados para presumir que el interesado ha cometido la infracción penal por la que es investigado, siempre que el Derecho nacional garantice posteriormente el control jurisdiccional efectivo de las condiciones de esa investigación, de la que deriva la autorización para la recogida. Además, con relación al art. 10 de dicha Directiva, concluye el tribunal que la Directiva 2016/680 «(...) se opone a una normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso a efectos de su registro, sin obligar a la autoridad competente a comprobar y demostrar, por una parte, si esa recogida es estrictamente necesaria para satisfacer los objetivos concretos perseguidos y, por otra parte, si tales objetivos no pueden lograrse mediante medidas que constituyan injerencias menos graves en los derechos y libertades del interesado».

A TENER EN CUENTA. Cuando el derecho del Estado miembro encomiende a las autoridades competentes el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1 (fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública), se aplicará el Reglamento (UE) 2016/679 al tratamiento con dichos fines, incluidos fines de archivo en interés público, de investigación científica e histórica o estadísticos, salvo que el tratamiento se lleve a cabo en una actividad que quede fuera del ámbito de aplicación del derecho de la Unión.