¿Qué son datos carácter personal?
Tal y como consta en el Preámbulo de la Ley orgánica que los regula, los datos de carácter personal se configuran como un derecho de las personas, en relación a los derechos fundamentales a la intimidad y el honor recogidos en el artículo 18.4 de la Constitución Española (CE), si bien, la protección de los datos de carácter personal se debe entender como un derecho autónomo de cualquier otro de los recogidos en el artículo 18 de la Carta Magna (1).
Por todo ello, los datos de carácter personal cuentan con una especial protección jurídica a través de las diferentes normas que regulan y limitan su acceso, cesión y posterior tratamiento, tanto por entidades de carácter público como de carácter privado, en un contexto de una sociedad cada día más globalizada, y con la finalidad última de evitar toda injerencia o lesión de los derechos de las personas físicas a la protección de sus datos.
Y es por ello también, sin perjuicio de las excepciones legalmente previstas, que la cesión y tratamiento de datos de carácter personal requiera de un consentimiento expreso por parte del afectado, en forma de manifestación de voluntad libre, específica, informada e inequívoca, conforme a lo establecido en el artículo 6 de la Ley Orgánica 3/2018 (LOPD) y en el artículo 4.11 del Reglamento (UE) 2016/67.
Se pueden definir los datos de carácter personal como “…cualquier información concerniente a las personas físicas identificadas o identificables…”, tal y como constaba en el artículo 3.a de la Ley Orgánica 15/1999, de 13 de diciembre (2). En este caso se considera que este tipo de datos recogen información que pudieran identificar fácilmente a las personas físicas, a través de información relativa a su aspecto físico, psíquico, económico, cultural o social, estableciéndose importantes limitaciones en el uso de los datos personales por parte de terceros, ya sea en el ámbito público o privado.
Los datos carácter personal en la función policial
Al hablar del uso de los datos de carácter personal en el ámbito de las funciones de las Fuerzas y Cuerpos de Seguridad nos encontramos con dos aspectos principales que pueden presentar ciertas dudas o problemáticas:
Por un lado se puede decir que no se establece legislativamente la total inclusión o exclusión del uso y tratamiento de datos de carácter personal por parte de los miembros de las Fuerzas y Cuerpos de Seguridad, al no estar contemplados de manera expresa en la legislación los procedimientos y formas en los que este tipo de actuaciones se debe de producir.
Por otro lado, nos encontramos con que la actuación policial, así como la investigación y represión de determinados hechos delictivos, requiere sin duda alguna del conocimiento y tratamiento de datos de carácter personal para las funciones propias de las Fuerzas y Cuerpos de seguridad, produciéndose una confrontación de intereses y de derechos de difícil equilibrio.
En un primer momento se podría pensar que la cesión de datos de carácter personal por parte de administraciones públicas o de entidades de carácter privado, a las Fuerzas y Cuerpos de Seguridad, podría constituir una infracción a las normas de protección de datos, no siendo esto del todo cierto, ya que se debe de tratar como situaciones de carácter excepcional permitidas por la legislación.
Debemos recordar en este punto, que conforme a lo establecido en la disposición derogatoria única de la LOPD de 2018, siguen en vigor determinados preceptos de la LOPD de 1999, especialmente y en relación al asunto que nos ocupa, señalamos la actual vigencia del artículo 22 de la Ley Orgánica 15/1999, que establece “la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas de Seguridad, sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales….”.
También debemos reseñar, en este mismo sentido, la posibilidad de acceso a datos de carácter personal por parte de los cuerpos policiales para “…prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales y la protección frente a amenazas a la seguridad pública y su prevención…”, tal y como consta en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
En estos casos, los cuerpos policiales deberán acreditar la necesidad de la cesión de los datos de las personas sin su consentimiento, en razón de un peligro para la seguridad pública o en casos justificados en relación a investigaciones con consecuencias penales de importancia, siendo también importante señalar que estos datos de carácter personal solo deberán ser utilizados por los funcionarios policiales para las finalidades justificadas en la petición.
Por todo ello, las peticiones de datos personales por parte de las Fuerzas y Cuerpos de Seguridad deben observar una serie de requisitos fundamentales:
- Deberán realizarse solicitudes individuales y específicas, con referencia exacta de los datos peticionados. No se permiten la cesión de datos masivos a las Fuerzas y uerpos de seguridad. En este caso, la LOPD del año 1999 señala que las peticiones se realizarán cuando “…sean absolutamente necesario para los fines de una investigación concreta…”(3)
- Las solicitudes deben plantearse por escrito, con constancia de la fecha, hora, número de registro, agente solicitante, etc…
- Las solicitudes deben estar correctamente fundamentadas y justificadas(4) en los casos de necesidad previstos legalmente, y amparadas en diligencias policiales o judiciales, o bajo el paraguas legal de una resolución administrativa expresa(5).
- Que los datos solicitados sean necesarios para la investigación por existir un peligro real y grave para la seguridad pública, o por persecución de hechos delictivos(4)
- Por supuesto deben evitarse las peticiones arbitrarias e indiscriminadas, o que entrañen aspectos exclusivos o discriminatorios(6)
Tras esta pequeña clasificación de requisitos, podemos decir también que los datos a los que tengan acceso los cuerpos policiales deben ser almacenados el tiempo estrictamente necesario para ejercer las funciones que motivaron su petición, debiendo diferenciarse aquellos datos que tengan fines administrativos, con aquellos datos que se recaben con fines policiales, penales o criminales(7). En todo caso, los datos recopilados deberán ser almacenados en ficheros específicos habilitados para ello y debidamente custodiados, conforme a lo establecido en el artículo 22 de la LOPD del año 1999.
Igualmente debemos destacar que esta facultad de las Fuerzas y Cuerpos de seguridad también tiene una serie de limitaciones, ya que existen determinados datos que por gozar de una especial protección jurídica, requieren también de un procedimiento especial para su cesión y tratamiento, para lo cual será preceptivo autorización de la autoridad judicial, entre los cuales podemos señalar datos referentes a comunicaciones electrónicas, telefónicas y postales, historiales clínicos/médicos, datos relativos a la seguridad social, datos fiscales, etc….
Por último vamos a hacer una breve referencia a los denominados datos masivos o datos a gran escala, concepto que no se encuentra jurídicamente definido, si bien según directrices del Grupo de Trabajo de Consejo de Europa GT29, hacen referencia a una gran cantidad de datos de carácter personal, debiendo este concepto reunir una serie de características como son un amplio ámbito geográfico, afectación de una gran cantidad de usuarios, uso de nuevas tecnologías, en el que se tratan datos sensibles y en los que se ven afectados derechos y libertades personales(8).
Conclusiones
En conclusión podemos decir que el acceso a datos de carácter personal por parte de las Fuerzas y Cuerpos de eguridad en el ejercicio de sus funciones de investigación quedan autorizadas, aun sin el consentimiento expreso de la persona o personas afectadas, siempre que este acceso quede debidamente acreditado y motivado, se ajuste a los procedimientos anteriormente reseñados y se utilicen con los fines únicos a los que se refiere la solicitud de datos.
Igualmente debemos destacar la responsabilidad del buen uso y custodia de los datos personales por parte de aquellos funcionarios solicitantes, así como de su posterior destrucción, una vez finalizadas las funciones objeto de la investigación.
Por últimos señalaremos que en este sentido seguimos muy expectantes de la reglamentación a la que hace referencia la Ley Orgánica 3/2018, en sus disposiciones transitoria 4ª y adicional 14ª, en lo referente a la transposición a nuestro ordenamiento jurídico de la Directiva 680/2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la cual, sin duda alguna, arrojará luz sobre el uso de datos de carácter personal en el ámbito policial.
Artículo escrito por Rubén TERRÓN EXPÓSITO, colegiado número 40 del Colegio Profesional de la Criminología de la Comunidad de Madrid
(1) STC 292/2000, de fecha 4 de enero
(2) Ley Orgánica 15/1999, de 13 de abril, derogada por Ley Orgánica 3/2018, de 5 de diciembre, con las excepciones señaladas en su Disposición derogatoria única
(3) Artículo 22.3 de la Ley Orgánica 15/1999, de 13 de abril (Artículo en vigor)
(4) Informes de la AEPD núm. 0213/2004, núm. 0297/2005 y núm. 0133/20180
(5) STS 14/2003, de fecha 30 de enero
(6) Informe de la AEPD núm. 0010/2014
(7) Recomendación 87 (15) del Consejo de Europa
(8) GT29, Grupo de trabajo para el artículo 29 del Consejo de Europa
Normativa consultada:
- Directiva (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
- Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
- Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
- Constitución Española de 1978
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales.
- Recomendación 87 (15) del Consejo de Europa
- Informe de la Agencia Española de Protección de Datos núm. 0213/2004
- Informe de la Agencia Española de Protección de Datos núm. 0297/2005
- Informe de la Agencia Española de Protección de Datos núm. 0133/2008
- Informe de la Agencia Española de Protección de Datos núm. 0010/2014
- Dictamen núm. D17-015 de la Agencia Vasca de Protección de datos
Webgrafía:
- Consejo de la Unión Europea / Consejo de Europa (Protección de datos en el ámbito judicial y policial)
- Ministerio del Interior, Gobierno de España (Protección de datos)
- Sede Electrónica AEPD (Agencia Estatal de Protección de datos)
https://sedeagpd.gob.es/sede-electronica-web/
- El acceso a los datos de carácter personal por la policía (01/08/2012, Emilio Frías Martínez)
- Cómo funciona la cesión de datos a la policía (26/04/2018, ClickDatos)
https://clickdatos.es/como-funciona-la-cesion-de-datos-a-la-policia/
- Protección de datos en el ámbito policial (05/03/2020, Carlos Manuel Fernández González USPCEU)
- Obligación de ceder datos a las Fuerzas y cuerpos de seguridad (04/04/2013, Karol Sedkowski)
- Regulación de los ficheros policiales en España (Esperanza Zambrano Gómez)
https://www.ugr.es/~redce/REDCE7/articulos/08esperanzazambranogomez.htm
- Big data, privacidad y protección de datos (Año 2015, Elena Gil)
https://www.ugr.es/~redce/REDCE7/articulos/08esperanzazambranogomez.htm
- Grupo de trabajo GT29 (Consejo de Europa)