La ley se transpone con tres años de retraso ocasionando más de 23 millones como multa

Hoy se ha publicado en el Boletín Oficial del Estado (BOE) la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Una ley aprobada en transposición a la Directiva (UE) 2016/680 publicada el 4 de mayo de 2016 por la Unión Europea y adoptada por el Estado español con más de tres años de retraso.

Debido a esta dilación, el pasado mes de febrero, el Tribunal de Justicia de la Unión Europea (TJUE) condenó a España a pagar 15,5 millones de euros. A estos se le sumarían 89.548,20 euros como multa coercitiva por cada día que transcurriese sin adaptar la Directiva europea. En total, la factura de dicho incumplimiento ha supuesto a las arcas públicas más de 23 millones de euros.

Objetivo de la ley

El año 2016 ha sido cuando Europa aprobó de manera conjunta tres normas que articularían un renovado derecho a la protección de datos personales. El Reglamento General de Protección de Datos (RGPD), la Directiva (UE) 2016/681 sobre la utilización de datos del registro de nombres de pasajeros (Directiva PNR) y la Directiva 2016/680 relativa a las infracciones y sanciones penales. Las tres compondrían un mismo mecanismo jurídico que regulase las cuestiones relativas a la protección de datos y, por tanto, son normas que se complementan para su correcta ejecución.

En lo que respecta a la Directiva 2016/680, esta norma nació debido la complejidad en la regulación que dificultaba la confianza entre los actores de la cooperación policial y judicial penal en Europa a la hora de compartir información. Un recelo ocasionado por esa falta de armonización en lo relativo al tratamiento de datos de carácter personal.

Así, la Ley Orgánica 7/2021 se constituye como la norma que regulará el tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas contra la seguridad pública.

Su objetivo principal es que los datos sean tratados por las autoridades competentes para la consecución de los fines que se encuentran dentro del ámbito de esta ley preservando en todo momento los derechos fundamentales y libertades de los ciudadanos.

¿Cuáles son las autoridades con competencia?

El artículo 4 determina que serán autoridades competentes las siguientes:

  1. Las Fuerzas y Cuerpos de Seguridad.
  2. Las Administraciones Penitenciarias.
  3. La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.
  4. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
  5. La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
  6. Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal

Novedades que trae la Ley Orgánica 7/2021

La ley se compone por sesenta y cinco artículos estructurados en ocho capítulos en los que se regulan cuestiones como los principios relativos al tratamiento de datos personales, los derechos de los interesados, las obligaciones de los responsables y encargados del tratamiento, las medidas de seguridad o las transferencias internacionales de datos.

Entre las novedades de la Ley Orgánica 7/2021, la ley incluye en su artículo 7 el denominado «deber de colaboración».  Una obligación que afecta tanto a Administraciones Públicas como a cualquier persona física o jurídica. El deber de colaboración exige proporcionar a las autoridades autorizadas los datos, informes, antecedentes y justificantes que se soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales, para la ejecución de las penas o, también, para la prevención y protección frente a un peligro real y grave para la seguridad pública.

El responsable del tratamiento deberá también diferenciar entre las distintas categorías de interesados:

  1. Personas sospechosas que hayan cometido, puedan cometer o colaborar en la comisión de una infracción penal.
  2. Personas condenadas o sancionadas por una infracción penal.
  3. Víctimas o afectados por una infracción penal o que puedan serlo.
  4. Terceros involucrados en una infracción penal.
  5. El responsable del tratamiento deberá determinar el período de conservación de los datos personales

En lo relativo a los derechos de los interesados, se contemplan los derechos de acceso, rectificación, supresión y limitación del tratamiento. Sin embargo, estos pueden ser restringidos en determinadas circunstancias. Por ejemplo, cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o nacional.

Tanto responsables como encargados del tratamiento estarán obligados a conservar un registro de las actividades de tratamiento. Incluirá, entre otros, los datos identificativos, los fines o categorías, así como un registro de operaciones. Este último comprenderá la recogida, la alteración, las consultas, las transferencias de los datos personales, entre otras operaciones realizadas.

Un aspecto importante a destacar de esta ley es la especial atención que presta a la seguridad del tratamiento. En su art. 31.1 establece que se deberán aplicar a los datos personales de categoría especial las medidas incluidas en el Esquema Nacional de Seguridad.

Sin embargo, con respecto al tratamiento automatizado, tanto el responsable como el encargado del tratamiento deberán también implementar una batería de medidas. Medidas que se aplicarán atendiendo a los resultados obtenidos en la evaluación de riesgos que se haya realizado.

En cuanto a los plazos de conservación, la ley determina que será el responsable quien deberá revisar (como máximo cada 3 años) la necesidad de conservar, limitar o suprimir los datos en función del tratamiento realizado. Con carácter general, el plazo máximo que traslada esta ley para la supresión de los datos es de 20 años, salvo algunas excepciones.

Nueva autoridad: la Unidad de Supervisión y Control de Protección de Datos

Otra de las novedades de la Ley Orgánica 7/2021 es que la Fiscalía General del Estado dispondrá de una nueva unidad. Se trata de la Unidad de Supervisión y Control de Protección de Datos que ejercerá las competencias que corresponden a la autoridad de protección de datos con fines jurisdiccionales sobre el tratamiento de los datos realizados por el Ministerio Fiscal. Su composición, organización y funcionamiento será regulada reglamentariamente.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Imagen de Free Photos en Pixabay