Datos relativos a condenas e infracciones penales en la nueva LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 10/12/2019

Los datos relativos a infracciones y condenas penales, no se encuentran expresamente incluido en la relación de categorías especiales de datos que podemos consultar en el tema correspondiente. Ahora bien, como veremos, el RGPD establece similares consideraciones al objeto de reforzar su protección al igual que sucede con los datos sensibles.

El artículo 10 del Reglamento establece el régimen aplicable al tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas. Así, este precepto, expresamente determina que el tratamiento de este tipo de datos sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.

Asimismo, el RGPD establece que únicamente podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

 En consecuencia, el legislador ha optado  por que los datos de esta indole únicamente puedan ser tratados por la Administración, y ello es así incluso aunque los mismos pudieran haber sido obtenidos de fuentes accesibles al público. En este sentido, se ha pronunciado la Agencia Española de Protección de Datos  que – en el año 2000 como respuesta a una consulta planteada por una entidad sin ánimo de lucro-  ha informado negativamente respecto a la posibilidad de difundir sentencias condenatorias en internet extraídas de fuentes accesibles al público –y por tanto sin recabar con carácter previo el consentimiento del interesado –  señalando que la normativa establece una regla específica para este tipo de datos, que impide su tratamiento por cualquier entidad de derecho privado, atribuyéndose esta legitimación exclusivamente a las Administraciones Públicas.

  Como señalamos anteriormente, aunque no podemos incluir este tipo de datos dentro de la categoría especial del artículo 9,  si encontramos en el texto del Reglamento varios preceptos que permiten apreciar una cierta equiparación entre los datos de categoría especial y los relativos a condenas e infracciones penales. Veamos a que nos referimos:

 - El artículo 37 - destinado a regular la designación del delegado de protección de datos- establece en su apartado 1º que el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. De cualquier modo el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

 - Por otra parte, el artículo 30 que contiene la regulación del denominado “registro de las actividades de tratamiento” establece en su apartado 5º la innecesaridad de cumplir las  obligaciones indicadas en los apartados 1 y 2 del precepto a ninguna empresa ni organización que emplee a menos de 250 personas,  a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

 - En la misma línea, el artículo 35 tratando la evaluación de impacto relativa a la protección de datos”  establece que  esta evaluación resultara particularmente necesaria en caso del tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

 

Por lo que respecta a la LOPDGDD, en su artículo 10 se establecen las mismas indicaciones que en el RGPD con alguna puntualización tal como:

- El registro completo de datos personales referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia, y

- Fuera de los supuestos señalados, solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.


En cuanto a las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el RGPD y la LOPDGDD.

Dentro de las D.A. de la LOPDGDD, la 12ª habilita al tratamiento de este tipo de datos en los registros de personal del sector público, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines.

Igualmente, dentro de las Disposiciones Transitorias, mientras no entre en vigor la norma que transponga al Derecho español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, los tratamientos continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo.

Como se puede apreciar, existe una dispensa normativa no deseada en la obtención de datos en causas penales y esto choca totalmente con la novedad y actualidad que intenta plasmar toda la normativa de Protección de Datos. Para conocer la fórmula de incorporación de datos personales a procesos penales hemos de acudir, en primer lugar, al artículo 4.11 del RGPD para analizar el consentimiento del interesado en la comunicación de datos de carácter personal. Para ello hay que conocer si el investigados de esa causa está legitimado para obtener dichos datos directamente del interesado o, por el contrario, de un tercero encargado del tratamiento de esos datos. Como ya hemos visto y, en este caso, para no desvirtuar la posible finalización de investigación se podrá acceder a esos datos por medio de un tercero encargado o responsable pero ello no quita que se deban tener en cuenta ciertas premisas o limitaciones y que quede sujeta a determinadas exigencias normativas.

El acceso a estos datos supone una clara excepción al derecho fundamental de Protección de Datos. 

Toda limitación de un derecho fundamental debe quedar sujeta a las exigencias del art. 8.2 CEDH que permite la limitación de la privacidad siempre que concurran en los dos supuestos analizados, penal y administrativo, los siguientes elementos:

1) Previsión legal. Es decir, es preciso disponer de una ley que permita el acceso a los datos de carácter personal.

2) Necesidad. Debe perseguir un fin legítimo. Para garantizar la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

Debemos conocer, por tanto, si existe alguna previsión legal que habilite que se recaben datos de carácter personal sin consentimiento del titular de los mismos. La respuesta nos la ofrece el art. 6 del RGPD al decir que solamente será licito el tratamiento cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, o cuando, el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. En este último caso, expresamente se prevé que no cabrá el tratamiento cuando dichos intereses no prevalezcan sobre los intereses del interesado, exceptuando los supuestos del tratamiento realizado por las autoridades en el ejercicio de sus funciones, generando una presunción de mayor interés y protección de lo público sobre lo privado.

Lo dicho hasta ahora sirve como marco general, pero hemos dicho que el Reglamento no resulta de aplicación a aquellos supuestos que se refieran a las investigaciones penales, el marco normativo nos lo dará la Directiva (UE) 2016/680 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.  El art. 4.1 de la Directiva establece que los datos personales deban ser tratados:

  1. Manera lícita y leal.
  2. Recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines.
  3. Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.

 

 Concluyendo, podemos afirmar que el articulado del Reglamento vislumbra el designio del legislador de equiparar el tratamiento garantista y protector de ambas categorías de datos.

 

 

No hay versiones para este comentario

Datos personales relativos a condenas e infracciones penales
Datos personales
Categorías especiales de datos
Tratamiento de datos personales
Protección de datos
Delegado de protección
Consentimiento del interesado
Datos sensibles
Encargado del tratamiento
Medidas de seguridad
Entidades sin animo de lucro
Ejecución de las sanciones
Registro de las actividades de tratamiento
Evaluación de impacto en protección de datos
Cuerpos y fuerzas de seguridad
Persona física
Amenazas
Derechos fundamentales
Centro penitenciario
Responsable del tratamiento
Comunicación de datos
Falta de consentimiento
Acceso a datos personales
Sin consentimiento
Interés publico
Interés legitimo
Poderes públicos
Categorías de datos personales

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados