Instrucción de la Fiscalía General del Estado sobre la protección de datos

El Boletín Oficial del Estado del 22 de enero de 2020 la Instrucción 2/2019, de 20 de diciembre, de la Fiscalía General del Estado, sobre la protección de datos en el ámbito del Ministerio Fiscal: el responsable y el Delegado de Protección de Datos.

Esta Instrucción cuenta con el siguiente índice:

1.?Introducción.

2.?Normativa general de protección de datos.

3.?La protección de datos en el ámbito de la administración de Justicia.

4.?La consideración del Ministerio Fiscal en la normativa de protección de datos.

5.?Consideraciones generales sobre el responsable de protección de datos.

5.1.?El responsable del tratamiento de datos personales en la normativa comunitaria.

5.2.?El responsable en la LOPDGDD.

6.?La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal.

7.?Las obligaciones del Ministerio Fiscal en materia de protección de datos.

7.1.?Las obligaciones del Ministerio Fiscal como responsable del tratamiento de datos personales.

7.2.?Obligaciones de la Fiscalía General del Estado.

7.3.?Obligaciones de las fiscalías, unidades y de los demás órganos del MF.

7.4.?Obligaciones de todos/as los/as fiscales.

7.5.?Régimen sancionador.

8.?La figura del Delegado de Protección de Datos.

8.1.?Consideraciones generales.

8.2.? El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal.

8.2.1.?Ámbito de actuación.

8.2.2.?Estructura.

8.2.3.?El DPD del Ministerio Fiscal.

8.2.4.?Adjuntos del DPD del Ministerio Fiscal.

9.?Cláusula de vigencia.

10.?Conclusiones.

La actuación del Ministerio Fiscal está sujeta a la normativa de protección de datos, materia de cierta complejidad y que actualmente está en desarrollo, en la que confluye la normativa europea y la propia de los Estados miembros. Resulta preciso un cuidadoso análisis de la legislación aplicable, teniendo en cuenta la naturaleza y funciones del MF, «órgano de relevancia constitucional con personalidad jurídica propia, integrado con autonomía funcional en el Poder Judicial» (art. 2.1 EOMF).

La regulación vigente se basa en el principio de responsabilidad proactiva, que supone la obligación de «aplicar medidas técnicas y organizativas apropiadas, acordes con la naturaleza, ámbito y fines del tratamiento, a fin de garantizar y poder demostrar que el mismo es conforme a la normativa, e implica la necesidad de identificar a los responsables del tratamiento». Y, por otro lado, contempla la figura del Delegado de Protección de Datos (en adelante, DPD), con funciones de asesoramiento y supervisión sobre esta materia, previsión que requiere su concreción en el ámbito específico del MF.

La acomodación de la actuación del MF a la normativa de protección de datos plantea la necesidad de precisar estos aspectos, teniendo en cuenta su misión, estructura, organización y funcionamiento, a la luz de la nueva regulación y sin perjuicio de las adaptaciones que resulten precisas, en su caso, derivadas de la ulterior trasposición de la Directiva (UE) 2016/680.

Destacando el punto 4º del índice, el mismo expresa lo siguiente sobre la figura del Ministerio Fiscal en la normativa de protección de datos:

"Como hemos visto, el RGPD no se refiere expresamente al tratamiento de datos personales realizados por el MF; tampoco, en el ámbito nacional, la parcialmente derogada LOPD ni la actual LOPDGDD mencionan al MF.

No obstante, resulta evidente que se encuentra sujeto a la normativa de protección de datos, ya que el derecho a la protección de datos constituye, sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, razón por la que vincula al MF, al igual que a otros poderes públicos (art 53 CE).

Por otro lado, debe partirse de su condición de «autoridad judicial independiente» (considerandos 20 y 97 RGPD) a la vista de la naturaleza del MF y de las funciones que constitucional y estatutariamente tiene encomendadas.

Así, en el marco de la UE no ofrece dudas la consideración del MF como «autoridad judicial». Como ejemplos pueden citarse la consideración de quienes integran el MF como autoridad judicial en el Convenio Europeo de Asistencia Judicial en Materia Penal de 1959 o la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea. La propia Directiva 41/2014 del Parlamento Europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal, fija un concepto único de autoridad judicial que se define en el art. 2 c.i como: Juez, órgano jurisdiccional, juez de instrucción competente o fiscal competente en el asunto de que se trate(3).

(3)?En esta línea la Ley 3/2018, de 11 de junio, por la que se modifica la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, para regular la Orden Europea de Investigación se refiere al fiscal como autoridad de emisión y ejecución (art. 187).

Resulta también expresivo que la Directiva 2016/680 identifica a esas autoridades judiciales con el MF al establecer que los Estados miembros pueden disponer que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo, la fiscalía (considerando 80 y art. 45.2).

En el mismo sentido, la LO 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, incluyó una disposición adicional novena sobre la «aplicación de la Ley al Ministerio Fiscal» indicando que «las referencias contenidas en el texto y articulado de la presente Ley a las oficinas judiciales, actividad judicial, juzgados y tribunales, sede judicial electrónica, órganos judiciales, expediente judicial electrónico, documento judicial electrónico, registro judicial electrónico y procedimiento judicial, serán de aplicación equivalente y se entenderán referidas igualmente a las oficinas fiscales, actividad fiscal, fiscalías, sedes fiscales electrónicas, expedientes fiscales electrónicos, registros fiscales electrónicos y procedimientos de cualquier tipo que se realicen y tramiten por el Ministerio Fiscal».

Por tanto, al examinar el tratamiento de datos que efectúa el MF debe partirse de una diferenciación entre el tratamiento que se realiza en el ejercicio de su función jurisdiccional o cuasijurisdiccional y el que se lleva a cabo al margen de la anterior.

El tratamiento de datos con fines jurisdiccionales o cuasijurisdiccionales por parte del MF, previsto en la normativa orgánica y procesal, está orientado al cumplimiento de las funciones que el EOMF asigna al MF y se corresponde con su intervención en los correspondientes procesos incoados por los órganos judiciales en las distintas jurisdicciones, así como el ejercicio de determinadas funciones propias del MF y previstas en el EOMF.

Dentro de los tratamientos con fines jurisdiccionales o cuasijurisdiccionales debemos distinguir las actuaciones que se realizan con fines de investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, que incluyen la intervención del MF en los procedimientos judiciales penales incoados, las diligencias de investigación o la tramitación del procedimiento previsto en la Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. Todas estas actuaciones encontrarían su marco en la Directiva (UE) 2016/680 y, hasta que no entre en vigor la norma que trasponga al derecho español la citada directiva, continúan rigiéndose por la LOPD, y en particular el art. 22, y sus disposiciones de desarrollo (D.A.4.ª LOPDGDD).

Todas las demás actuaciones de naturaleza jurisdiccional no comprendidas en el párrafo anterior como, por ejemplo, la gestión procesal en los órdenes jurisdiccionales civil, social o contencioso-administrativo; las actuaciones preprocesales civiles, así como, en su caso, las actuaciones de naturaleza tuitiva (listados de internos en centros y residencias de personas mayores y personas con capacidad disminuida; registro de menores extranjeros no acompañados, control y seguimiento de solicitudes de internamientos en CIEs, etc.), se desarrollan en el marco del RGPD y la LOPDGDD.

El tratamiento de datos con fines no jurisdiccionales que se efectúa en las fiscalías se corresponde con la actuación derivada de expedientes gubernativos, la gestión de personal relativa a la situación administrativa, laboral y económica de fiscales y funcionarios, la agenda de la fiscalía, el registro y control de visitas, etc. Este tratamiento de datos se somete a la regulación del RGPD y la LOPDGDD.

La diferenciación es relevante, pues afecta a cuestiones como la autoridad de control(4) o las normas que rigen los derechos de los interesados (por ejemplo, el acceso o la cancelación de los datos).

(4)?Cuando el tratamiento se ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra sometido al control de la Agencia Española de Protección de Datos (AEPD). Para el tratamiento realizado por el MF en cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla la posibilidad de creación de un organismo específico en el MF que asuma esta función".