Jesús Yáñez
Jesús Yáñez, socio de las áreas de Risk & Compliance, Ciberseguridad, Privacidad y Protección de Datos en Écija analiza la llegada a España de esta nueva legislación.
Por fin tenemos entre nosotros la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, publicada en el Boletín Oficial del Estado de 27 de mayo de 2021. Digo por fin, porque esta ley es la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Y llega tarde, tan tarde que el Tribunal de Justicia de la Unión Europea ha condenado a España a la nada desdeñable cifra de 15.5 millones de euros a tanto alzado y una multa coercitiva diaria de 89.548,20 euros por cada día de retraso en la transposición de dicha directiva al ordenamiento español, un retraso que se viene acumulando desde el 6 de mayo de 2018… Hagan cuentas.
Esta ley es el segundo pilar normativo en materia de protección de datos en España, complementando lo ya regulado en la L.O. 3/2018 de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales. Si bien, en este caso, el ámbito de aplicación es infinitamente más reducido, y es que esta normativa solo deberá ser aplicada por las autoridades públicas competentes.
En concreto, por las Fuerzas y Cuerpos de Seguridad, las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal, las Administraciones Penitenciarias, la Dirección Adjunta de Vigilancia Aduanera, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y la Comisión de Vigilancia de Actividades de financiación del Terrorismo, todo ello sin perjuicio de los tratamientos llevados a cabo por órganos jurisdiccionales.
Limitaciones de la Ley Orgánica 7/2021
Ni que decir tiene que, lógicamente, los tratamientos de datos personales realizados por las autoridades públicas para estas finalidades tienen que ver matizados los principios y los derechos que figuran en el Reglamento General de Protección de Datos. Dos son las limitaciones más importantes respecto a la normativa de protección de datos del RGPD.
Por un lado, la limitación del deber de transparencia u obligación de información al interesado sobre los tratamientos que se realizan, con el objetivo de evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales. No tiene sentido informar a una persona a la que se le está investigando si eso puede perjudicar la propia investigación u otras investigaciones asociadas.
En segundo lugar, tenemos la limitación en los derechos, y es que esta ley orgánica reconoce a los interesados los derechos de derechos de acceso, rectificación, supresión (cuando sea factible) y limitación del tratamiento, pero ni rastro de los derechos de oposición y portabilidad. Es interesante conocer, además, que las autoridades competentes no tienen la obligación de responder a estos ejercicios de derechos, sino que se presumirá la desestimación de la solicitud del interesado en aquellos supuestos en los que, transcurrido un mes desde su presentación, no haya recibido respuesta.
Esta ley es menos garantista para el ciudadano en el caso de las imágenes captadas por los sistemas de videovigilancia y dispositivos móviles de los Cuerpos y Fuerzas de Seguridad del Estado.
Ya que indica expresamente que las grabaciones serán destruidas en el plazo máximo de tres meses desde su captación (y no un mes como veía siendo habitual), salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto.
Por último, indicar una obligación para estas autoridades públicas competentes que no existe en el RGPD, y es que las autoridades públicas competentes tendrán que llevar a cabo un registro de operaciones que incluya la recogida, alteración, consulta, comunicación a terceros, transferencias internacionales, y supresión de los datos personales.
Se trata de una ley que no introduce apenas novedades respecto de la directiva de la que trae causa, salvo la indicación expresa de qué autoridades deben cumplir con ella y que, por tanto, hace muy difícil la justificación de que haya tardado tanto en estar entre nosotros.
No obstante, es una ley necesaria, que da seguridad jurídica a unos tratamientos de datos personales que pueden ser muy invasivos en la esfera de la privacidad.
Aún así, esta ley otorga a los ciudadanos derechos de manera clara, ya que no son un folio en blanco en los tratamientos y potestades de las autoridades públicas respecto a los tratamientos de datos de las personas.
