Unitat 7: Tractament de dades personals amb finalitats policials i d’execució penal
• 7.1 Aspectes introductoris i àmbit d’aplicació de la Llei orgànica 7/2021
• 7.2 Principis de protecció de dades en l’àmbit policial i d’execució penal
• 7.3 Videovigilància policial
• 7.4 Drets de les persones afectades
• 7.5 Principals obligacions del responsable del tractament
• 7.6 Autoritats de control
• 7.7 Reclamacions i règim sancionador
7.1 Aspectes introductoris i àmbit d’aplicació de la Llei orgànica 7/2021
En aquesta darrera unitat del curs s'analitzarà el règim aplicable a la protecció de les dades personals que es tracten en la persecució i l'enjudiciament de les infraccions penals, incloent-hi la seguretat pública, per part dels cossos policials, els òrgans judicials penals, el Ministeri Fiscal i altres autoritats competents, i en l'execució de les condemnes penals per part de l'Administració penitenciària. Per tant, aquest règim és rellevant, entre d'altres, per als tractaments que duu a terme el cos de Mossos d'Esquadra i policies locals en l'exercici de funcions de policia judicial o de seguretat pública, així com determinats tractaments dels serveis penitenciaris directament vinculats al compliment de sancions penals. També és rellevant a l'hora d'atendre les sol·licituds d'informació dels òrgans judicials penals, del Ministeri Fiscal o dels cossos policials amb aquestes finalitats.
En aquest àmbit el dret a la protecció de dades personals té una regulació específica, la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades per a fins de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d'execució de sancions penals, que transposa a l'ordenament intern la Directiva (UE) 2016/680 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades, i per la qual es deroga la Decisió Marc 2008/977/JAI del Consell.
En aquesta unitat analitzarem el règim derivat d'aquesta normativa específica, que desplaça la normativa general del RGPD i de la LOPDGDD, llevat dels aspectes que la mateixa Llei orgànica 7/2021 remet a aquestes normes. No obstant això, atès que en molts aspectes la regulació coincideix amb la que conté el RGPD, ens centrarem només en els aspectes més rellevants que comporten alguna especificitat respecte del règim general del RGPD, que s'ha analitzat en les unitats anteriors.
Àmbit d'aplicació
La Llei orgànica 7/2021 té dos àmbits d'aplicació: pel que fa al seu objecte, és aplicable només a determinades finalitats; pel que fa als subjectes, és aplicable només als tractaments que facin les anomenades "autoritats competents".
Finalitats regulades:
La Llei orgànica 7/2021 només és aplicable als tractaments de dades personals que es facin per assolir determinades finalitats que es recullen en l'article 1 de la Llei:
- Prevenció, investigació, detecció o enjudiciament d’infraccions penals, incloent-hi la protecció i la prevenció davant d'amenaces contra la seguretat pública.
- Execució de sancions penals.
Aquestes finalitats s'han d'interpretar de manera restrictiva. Així, per exemple, aquesta normativa específica no seria aplicable a les dades que tractin els cossos policials en funcions de policia administrativa, ni tampoc en els tractaments que faci l'Administració penitenciària que no estiguin estrictament vinculats al compliment de les penes.
Queden fora de l'àmbit d'aplicació de la Llei orgànica 7/2021 els tractaments següents:
- Els vinculats a altres funcions que tinguin atribuïdes les autoritats competents diferents a les de l’article 1. Aquests altres tractaments es regeixen pel RGPD i la LOPDGDD.
- Els que facin els òrgans de l'Administració general de l'Estat en activitats compreses en la política exterior i de seguretat comuna (capítol II del títol V del Tractat de la Unió Europea).
- Els vinculats a activitats no incloses dins l’àmbit d’aplicació del dret de la Unió Europea.
- Els sotmesos a la normativa de matèries classificades, entre les quals hi ha la defensa nacional.
- Els vinculats a les accions civils i procediments administratius vinculats a processos penals, però que no tinguin una de les finalitats de l’article 1.
Autoritats competents:
Aquesta regulació només és aplicable a les autoritats competents per exercir les competències per assolir aquestes finalitats. Tot i que no és una llista tancada, la mateixa Llei orgànica, en l'article 4, ofereix una llista d'autoritats competents:
• Les forces i cossos de seguretat
• Les administracions penitenciàries
• La Direcció Adjunta de Vigilància Duanera de l’AEAT
• El servei executiu de la Comissió de Prevenció del Blanqueig de Capitals i Infraccions Monetàries
• La Comissió de Vigilància d’Activitats de Finançament del Terrorisme
• Les autoritats judicials de l’ordre jurisdiccional penal i el Ministeri Fiscal.
Les referències a les "autoritats competents" que es fan en aquesta unitat, cal entendre-les que es fan a aquestes autoritats.
Com en el cas del RGPD, la Llei orgànica 7/2021 no és aplicable a les dades de les persones difuntes, tot i que les persones vinculades al difunt per raons familiars o de fet i els hereus es poden adreçar al responsable del tractament per exercir els drets d'accés, rectificació i supressió respecte de les dades de la persona difunta.
7.2 Principis de protecció de dades en l’àmbit policial i d’execució penal
Els principis de la protecció de dades en l'àmbit de la Llei orgànica 7/2021 són els següents:
- Principi de licitud
- Principi de lleialtat
- Principi de limitació de la finalitat
- Principi de minimització de les dades
- Principi d’exactitud
- Principi de limitació del termini de conservació
- Principi de seguretat
- Principi de responsabilitat proactiva.
Aquests principis coincideixen fonamentalment amb els que estableix el RGPD. No obstant això, se n'ha de destacar dues diferències: en primer lloc, tot i que la Llei orgànica conté algunes determinacions pel que fa al deure d'informació, el principi de transparència no s'esmenta com un dels principis de la Llei; en segon lloc, i exceptuant-ne els principis de lleialtat, seguretat (principi equivalent al d'integritat i confidencialitat del RGPD) i responsabilitat proactiva, que es mantenen en termes molt similars al RGPD, el contingut de la resta de principis incorpora algunes diferències que cal esmentar.
Principi de licitud
El tractament és lícit en la mesura que sigui necessari per a les finalitats de l'article 1 i el dugui a terme una de les "autoritats competents".
El tractament de dades de categories especials de dades (que coincideixen amb les del RGPD) només es pot fer si és estrictament necessari, amb subjecció a les garanties adequades per als drets i les llibertats de les persones afectades i sempre que concorri alguna de les circumstàncies següents:
- Estigui establert en una norma amb rang de llei o en el dret de la Unió Europea.
- Sigui necessari per protegir els interessos vitals, així com els drets i les llibertats fonamentals de la persona afectada o d'una altra persona física.
- Es refereixi a dades que la persona ha fet manifestament públiques.
La Llei orgànica 7/2021 habilita les autoritats competents per tractar dades biomètriques per identificar de manera unívoca una persona amb la finalitat de prevenir, investigar i detectar infraccions penals, incloent-hi la protecció i la prevenció enfront d'amenaces contra la seguretat pública.
En el tractament de les dades de menors d'edat, i de persones amb capacitat modificada judicialment o que estiguin en curs de ser-ho, se n'ha de garantir l'interès superior i aplicar un nivell de seguretat adequat.
Cal tenir en compte, d'altra banda, que la Llei orgànica 7/2021 disposa l'obligació de qualsevol persona física o jurídica de proporcionar a les autoritats competents les dades, els informes i els justificants necessaris que els sol·licitin en els supòsits següents:
- Per a la investigació i l'enjudiciament d'infraccions penals o per a l'execució de penes per part de les autoritats judicials, el Ministeri Fiscal o la policia judicial.
De les sol·licituds d'informació per la policia judicial, se n'ha de donar compte en tot cas a l'autoritat judicial i fiscal. La comunicació de dades per l'Administració tributària, la Inspecció de Treball i l'Administració de la Seguretat Social, s'ha de fer d'acord amb la seva legislació específica.
- Per a la prevenció, la detecció i la investigació d'infraccions penals per les autoritats competents.
- Per a la prevenció i la protecció enfront d'un perill real i greu per a la seguretat pública per les autoritats competents.
No obstant això, aquestes determinacions no eximeixen d'obtenir l'autorització judicial pertinent, quan sigui exigible.
Les sol·licituds d'informació han de ser motivades, concretes i específiques.
Les persones afectades no han de ser informades de les dades transmeses en virtut d'aquest deure de col·laboració o d'altres obligacions específiques de col·laboració amb aquestes finalitats establertes per l'ordenament jurídic.
L'incompliment d'aquest deure de col·laboració o de facilitar informació a les persones afectades en aquests supòsits es tipifica com infracció en diferents preceptes de la Llei orgànica (art. 58.j i 59.j).
Principi de limitació de la finalitat
Les dades s'han de tractar amb finalitats determinades, explícites i legítimes, i no es poden tractar de manera incompatible amb aquestes finalitats.
No obstant això, les dades les pot tractar el mateix responsable o un altre per a qualsevol de les altres finalitats establertes en l'article 1 de la Llei orgànica, incloent-hi l'arxiu per raons d'interès públic i l'ús científic, històric o estadístic amb aquests fins, sempre que concorrin cumulativament les circumstàncies següents:
- El responsable del tractament sigui una autoritat competent.
- El tractament sigui necessari i proporcionat per a la consecució de l'altra finalitat.
El tractament per a una altra finalitat diferent a les establertes en l'article 1 requereix que estigui autoritzat pel dret de la Unió Europea o de la legislació interna.
Principi d’exactitud
Les dades han de ser exactes i actualitzades. S'han d'adoptar les mesures raonables per suprimir o rectificar, sense dilació indeguda, les dades inexactes.
En la mesura que sigui possible, s'han d'establir diferents categories de persones interessades:
- Persones respecte de les quals hi ha motius fonamentats per presumir que han comès o van a cometre una infracció penal o hi van col·laborar.
- Persones condemnades o sancionades per una infracció penal.
- Víctimes o afectades per una infracció penal o que puguin ser-ho.
- Tercers involucrats en una infracció penal, com ara: persones citades a testificar, persones que poden facilitar informació, o persones de contacte o associades amb alguna d'aquestes persones.
A més, el responsable del tractament ha d'establir una distinció entre les dades personals basades en fets i les basades en apreciacions personals.
En la transmissió de les dades s'ha de traslladar al destinatari informació sobre la qualitat, l'exactitud i l'actualització de les dades. S'han d'adoptar les mesures raonables perquè les dades inexactes, incompletes o que no estiguin actualitzades no es transmetin.
Principi de limitació del termini de conservació
Les dades només es poden conservar, de manera que permetin identificar la persona interessada, durant un període no superior al que sigui necessari per assolir les finalitats de l'article 1 per als quals es tracten.
El responsable ha de revisar la necessitat de seguir tractant les dades com a màxim cada tres anys, tenint en compte, especialment:
- L'edat de la persona afectada
- El caràcter de les dades
- La conclusió d'una investigació o d'un procediment penal.
La revisió s'ha de fer, si és possible, mitjançant un sistema automatitzat.
En qualsevol cas, les dades s'han de suprimir un cop transcorreguts 20 anys, llevat que concorri alguna de les circumstàncies següents:
- L'existència d'investigacions obertes o delictes que no hagin prescrit
- La no conclusió de l'execució de la pena
- La reincidència
- La necessitat de protecció de les víctimes
- Altres circumstàncies que ho facin necessari per complir les finalitats de l'article 1.
7.3 Videovigilància policial
La Llei orgànica 7/2021 regula la utilització de sistemes de videovigilància per part de les autoritats competents amb diverses finalitats:
- Protecció dels edificis i les instal·lacions pròpies i dels seus accessos
- Protecció de les instal·lacions públiques que estiguin sota la seva custòdia i els seus accessos
- Protecció de les instal·lacions útils per la seguretat nacional
- Prevenció, detecció i investigació d'infraccions penals
- Protecció i prevenció enfront d'amenaces contra la seguretat pública.
El tractament de les dades obtingudes amb càmeres i videocàmeres per les forces i cossos de seguretat, pels òrgans competents per a la vigilància i el control dels centres penitenciaris i per al control, la regulació, la vigilància i la disciplina del trànsit, es regeixen també per la Llei orgànica 7/2021, sens perjudici dels requisits establerts en els règims legals especials.
La Llei distingeix entre els sistemes fixos i els dispositius mòbils.
Sistemes fixos
Es consideren sistemes fixos els que estan formats per videocàmeres ancorades en un suport fix o una façana, amb independència que el camp de visió de la càmera sigui orientable en qualsevol direcció.
Aquesta regulació s'aplica també a càmeres que utilitzin les forces i cossos de seguretat, quan en tinguin el control i la direcció efectiva, encara que no en tinguin la titularitat.
Es poden instal·lar a la via pública o a llocs públics. Amb caràcter previ el responsable del tractament ha de fer una avaluació de la proporcionalitat del sistema tant pel que fa a la idoneïtat de la mesura, com des del punt de vista del principi d'intervenció mínima.
Igualment, en funció del nivell de perjudici que es pugui derivar per als ciutadans i de la finalitat perseguida, caldrà fer una avaluació d'impacte sobre la protecció de dades.
La instal·lació d'aquestes càmeres no està sotmesa a cap tipus d'autorització.
Els ciutadans han de ser informats de manera clara i permanent de l'existència d'aquests sistemes, així com de l'autoritat responsable del tractament davant la qual es poden exercir els drets, sense especificar l'emplaçament concret de les càmeres.
Dispositius mòbils
La Llei habilita també la utilització de dispositius de presa d'imatge i so de caràcter mòbil, quan hi hagi un perill o un esdeveniment concret.
La utilització de dispositius mòbils per part del cos de Mossos d'Esquadra o de les policies locals ha de ser autoritzat per la Direcció General d'Administració de Seguretat del Departament d'Interior, que ha de vetllar per l'adequació als principis del tractament i, en especial, al principi de proporcionalitat. En cas d'urgència o necessitat inajornable, el responsable operatiu de les forces i cossos de seguretat que intervinguin en pot determinar l'ús, i ho ha de comunicar al més aviat possible i sempre dins de 24 hores a la Direcció General d'Administració de Seguretat.
El termini de vigència d'aquestes autoritzacions ha de ser adequat a la naturalesa i les circumstàncies del perill o l'esdeveniment de què es tracti, sense que en cap cas se superi el termini d'un mes, prorrogable un altre mes.
Elements comuns
Les gravacions s'han de destruir en el termini màxim de tres mesos des de la captació, llevat que estiguin relacionades amb infraccions penals o administratives greus o molt greus en matèria de seguretat pública, subjectes a una investigació policial en curs, o amb un procediment judicial o administratiu obert.
Si s'enregistren fets que poden ser constitutius d'infraccions penals, la gravació original s'ha de posar a disposició judicial al més aviat possible, i en qualsevol cas en 72 hores. Si s'enregistren fets que poden ser constitutius d'infraccions administratives relacionades amb la seguretat pública s'han de remetre a l'òrgan competent de manera immediata, per iniciar el procediment sancionador.
Pel que fa al règim sancionador, les infraccions del que estableix la Llei orgànica 7/2021 s'han de sancionar d'acord amb el règim disciplinari corresponent als infractors (la mateixa Llei orgànica inclou quatre noves faltes molt greus vinculades a l'ús d'aquests sistemes), sens perjudici de les responsabilitats penals que es puguin exigir.
Si no hi ha exigència de responsabilitat d'acord amb el règim disciplinari o el dret penal, les conductes contràries al que estableix la Llei orgànica 7/2021, les ha de sancionar l'Autoritat Catalana de Protecció de Dades (APDCAT), d'acord amb el règim sancionador que disposa la Llei.
7.4 Drets de les persones afectades
Els drets que reconeix la Llei orgànica 7/2021 a les persones afectades són similars als que reconeix el RGPD. No obstant això, i a banda de les especialitats a les quals ens referirem tot seguit, especialment pel que fa al règim de restriccions, convé tenir en compte que en aquest àmbit no es reconeix el dret d'oposició, ni el dret a la portabilitat de les dades. D'altra banda, el dret a no ser objecte de decisions automatitzades no es regula com a tal dret sinó en un article fora del capítol dedicat als drets.
Cal destacar també en aquest àmbit la possibilitat que en els casos en els quals alguna restricció pugui afectar la informació rebuda o l'exercici dels drets, les persones afectades els poden exercir, de manera indirecta, a través de l'autoritat de control.
Informació a les persones afectades
Tot i que el principi de transparència no es recull entre els principis de la Llei orgànica 7/2021 i que l'encapçalament de l'article no s'hi refereix com un dret, l'article 21 d'aquesta Llei orgànica, en el capítol III, dedicat als drets, recull el deure d'informar les persones afectades.
El contingut d'aquest deure és més limitat que en el règim general del RGPD, tant pel que fa a la informació que cal facilitar com a la manera com s'ha de fer. En qualsevol cas, la informació s'ha de facilitar de manera concisa, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.
Cal posar a disposició de les persones afectades -per exemple, a través del web- informació sobre (art. 21.1):
- La identitat i les dades de contacte del responsable del tractament.
- Les dades de contacte del delegat de protecció de dades.
- Les finalitats del tractament a què es destinen les dades personals.
- El dret a presentar una reclamació davant l'autoritat de control i les dades de contacte d'aquesta.
- El dret a sol·licitar al responsable del tractament l'accés a les seves dades personals, la seva rectificació o supressió, o la limitació del tractament.
Aquesta informació s'ha d'oferir amb caràcter general, sense que siguin aplicables les restriccions establertes en l'article 24 de la Llei orgànica.
D'altra banda, i sempre que sigui necessari tenint en compte les circumstàncies del cas, també s'ha de proporcionar altra informació addicional establerta en l'article 21.2. A aquests efectes cal tenir especialment en compte les restriccions establertes en l'article 24. En aquest cas, la informació que es pot haver de proporcionar seria la següent:
- La base jurídica del tractament.
- El termini durant el qual es conservaran les dades personals o, si no n'hi ha, els criteris per determinar-lo.
- Les categories de destinataris de les dades personals, en particular de les transferències internacionals.
- Qualsevol altra informació necessària, en particular quan les dades s’han recollit sense coneixement de la persona interessada.
Disposicions generals sobre l'exercici dels drets
El responsable del tractament ha d'adoptar les mesures necessàries per garantir a les persones afectades l'exercici dels drets d'accés, rectificació, supressió i limitació del tractament. Els ha de facilitar la informació derivada de l'exercici d'aquests drets en un llenguatge clar, senzill i adaptat, per qualsevol mitjà adequat, incloent-hi els mitjans electrònics, i procurar utilitzar el mateix mitjà emprat a la sol·licitud.
Aquests drets es poden exercir en nom propi o a través de representació, de manera gratuïta. Si el responsable té dubtes sobre la identitat de la persona sol·licitant, l'ha de requerir per tal que en el termini de 10 dies aporti la informació necessària per confirmar-ne la identitat. Si no l'aporta, es considerarà que ha desistit d'exercir els seus drets.
Si la sol·licitud és manifestament infundada o excessiva, en especial perquè és repetitiva (ho és si es fan tres sol·licituds en sis mesos sobre el mateix supòsit, llevat que concorri una causa legítima), es pot cobrar un cànon o inadmetre la sol·licitud. Correspon al responsable del tractament demostrar el caràcter manifestament infundat o excessiu.
La sol·licitud s'ha d'atendre sense dilació indeguda i, en qualsevol cas, en el termini d'un mes. Un cop transcorregut aquest termini sense que s'hagi resolt i notificat, s'entén que s'ha desestimat.
Exercici dels drets a través de l'Autoritat Catalana de Protecció de Dades
Quan la recepció d’informació o l’exercici dels drets d’accés, rectificació, supressió o limitació s'hagi vist afectat per alguna de les restriccions que disposa l'article 24, a les quals ens referirem més endavant, les persones afectades poden exercir aquests drets a través de l’autoritat de control competent, en aquest cas l'APDCAT.
Per tal de facilitar aquesta possibilitat, quan es denegui algun dels drets o quan es limiti la informació facilitada, s’ha d’informar el subjecte afectat que pot emprar aquest mecanisme.
L'autoritat de control ha de fer les comprovacions necessàries i, en un termini raonable, informar-ne la persona afectada, i també sobre la possibilitat d’interposar recurs contenciós.
Aquesta possibilitat d'exercir els drets a través de l'autoritat de control és independent de la presentació d'una reclamació davant l'autoritat de control per la denegació o la manca d'atenció dels drets.
El dret d’accés
El dret d’accés es configura com el dret a saber si s’estan tractant o no dades personals que afectin la persona interessada i, en cas afirmatiu, accedir a les dades i la informació següent:
- Finalitats del tractament i base jurídica.
- Categories de dades.
- Destinataris o categories de destinataris a qui s'han comunicat, en particular en les transferències internacionals.
- Termini durant el qual es conservaran o, si no és possible, criteris per determinar-lo.
- Dret a sol·licitar la rectificació, la supressió o la limitació del tractament.
- Dret a presentar una reclamació davant l'autoritat de control i les seves dades de contacte.
- Dades personals objecte de tractament.
- Qualsevol informació disponible sobre el seu origen, sense revelar la identitat de cap persona física, en especial en el cas de fonts confidencials.
Si el responsable disposa d'una gran quantitat d’informació de la persona interessada i aquesta exercita el dret sense concretar si es refereix a totes les dades o a una part, se li pot requerir que ho concreti en 10 dies.
La informació s'ha de facilitar per qualsevol mitjà adequat, incloent-hi els mitjans electrònics, i s'ha de procurar utilitzar el mateix mitjà emprat per a la sol·licitud. Si la persona interessada escull un mitjà diferent al que li ofereix el responsable que comporti un cost desproporcionat, se li pot exigir el cost. Si no n'assumeix el cost, se li ha de facilitar pel mitjà inicialment proposat pel responsable.
Es pot considerar satisfet el dret si se li indica un mitjà remot, directe i segur que garanteixi l’accés a la totalitat de les dades, encara que hagi demanat que se satisfaci el dret per altres vies. Si no inclou tota la informació a la qual ens hem referit en aquest apartat, la persona interessada continua tenint dret a sol·licitar-la.
El dret de rectificació
El dret de rectificació inclou no només la rectificació de les dades inexactes, sinó també el dret que es completi la informació quan sigui incompleta.
La rectificació es refereix fonamentalment a fets. Pel que fa a les declaracions, l’exactitud no s’ha de vincular a la veracitat d’una afirmació, sinó al fet que l’afirmació s’hagi fet.
A la sol·licitud cal indicar les dades a les quals es refereix i la correcció que cal fer, i s'ha d'acompanyar de la documentació justificativa.
En el cas que les dades s’hagin obtingut d’una altra autoritat competent, cal informar-la de la rectificació. Si les dades rectificades s’han comunicat, també s’ha de notificar als destinataris, que les hauran de rectificar sota la seva responsabilitat.
El dret de supressió
Cal suprimir les dades en el termini d'un mes des que es tingui coneixement d'alguna d'aquestes circumstàncies:
- El tractament infringeix els principis establers en la Llei orgànica, en especial el principi de licitud i les condicions necessàries per al tractament de categories especials de dades.
- S’han de suprimir en virtut d’una obligació legal.
El dret de supressió opera no només a sol·licitud de la persona interessada, sinó que també s'han de suprimir d'ofici, en el termini d'un mes des que el responsable tingui coneixement d'aquestes circumstàncies.
El dret a la limitació del tractament
En determinats supòsits, en lloc de suprimir o rectificar les dades, se'n pot limitar l'ús mitjançant el marcatge:
- Quan la persona interessada n'impugni l'exactitud, i mentre aquesta no es pugui determinar.
- Quan les dades que s'han de suprimir s’han de conservar a efectes probatoris. En aquest cas només es poden tractar amb finalitat probatòria.
El responsable del tractament ha d’informar la persona interessada abans d’aixecar la limitació de l’ús de dades.
Si s’han comunicat les dades de les quals s'ha limitat el tractament, s’ha de notificar la limitació als destinataris, que hauran de limitar el tractament sota la seva responsabilitat.
Restriccions als drets de les persones interessades
L’article 24 de la Llei orgànica disposa un seguit de restriccions que poden limitar l'exercici dels drets d'accés, rectificació, supressió i limitació del tractament, com també al dret a rebre la informació addicional a la qual es refereix l'article 21.2 com a part del deure d'informació.
La restricció pot consistir a limitar o ometre determinada informació o, en el cas del dret d'informació, també un aplaçament de la informació, sempre que, tenint en compte els drets fonamentals de la persona afectada, resulti necessari i proporcional per:
- Impedir que s'obstaculitzin indagacions, investigacions o procediments judicials.
- Evitar que es causi perjudici a la prevenció, la detecció, la investigació i l'enjudiciament d'infraccions penals o l'execució de sancions penals.
- Protegir la seguretat pública.
- Protegir la seguretat nacional.
- Protegir els drets i les llibertats d'altres persones.
A diferència dels límits que disposa el RGPD, en l'àmbit de la Llei orgànica 7/2021 no és necessària una llei interposada que estableixi aquests límits, sinó que operen directament a partir del que disposa la Llei.
La denegació o la limitació dels drets ha de ser motivada i per escrit, i cal informar tant de la possibilitat de reclamar davant l'APDCAT com de la possibilitat d'exercir indirectament els drets a través d'aquesta.
La motivació pot ser omesa o substituïda per una redacció neutra quan la motivació pugui comprometre alguna de les restriccions. En aquest cas el responsable del tractament ha de documentar els fonaments de fet i de dret en què sustenta la denegació, i mantenir aquesta informació a disposició de l'autoritat de control.
Cal tenir en compte també que les persones afectades no han de ser informades de les dades transmeses en virtut del deure de col·laboració que disposa la Llei o d'altres obligacions específiques de col·laboració amb aquestes finalitats establertes per l'ordenament jurídic.
Mecanismes de decisió individual automatitzada
Tot i que sistemàticament no se situa dins el capítol dedicat als drets, l'article 14 de la Llei orgànica regula els mecanismes de decisió individual automatitzada de manera similar a la regulació del dret a no ser objecte de decisions automatitzades del RGPD.
Es prohibeixen les decisions basades únicament en un tractament automatitzat, incloent-hi l'elaboració de perfils, que produeixin efectes jurídics negatius per a les persones interessades o les afectin significativament, llevat que ho autoritzi una norma amb rang de llei que estableixi mesures adequades per salvaguardar els drets i les llibertats de les persones, incloent-hi el dret a obtenir la intervenció humana en el procés de revisió de la decisió. A diferència del RGPD, en aquest àmbit les decisions automatitzades no es poden basar en el consentiment ni en un contracte.
No es poden tractar categories especials de dades (per exemple, fitxers polítics o religiosos) llevat que ho disposi una norma amb rang de llei i s’hagin pres mesures adequades per salvaguardar els drets, les llibertats i els interessos legítims de les persones interessades. En cap cas poden donar lloc a discriminació.
Si es preveu elaborar perfils, ha de constar al registre d'activitats del tractament.
7.5 Principals obligacions del responsable del tractament
La Llei orgànica 7/2021 regula la figura del responsable del tractament, que en aquest cas ha de ser sempre alguna de les autoritats competents incloses dins l'àmbit d'aplicació de la Llei orgànica, en termes equivalents als que ja s'han analitzat en el règim general del RGPD.
També es regula en termes similars la figura del corresponsable del tractament, tot i que en aquest cas es disposa que l'establiment del règim de corresponsabilitat pot derivar no només d'un acord entre els corresponsables, sinó també del dret de la Unió Europea o la legislació interna.
Pel que fa a l'encarregat del tractament, i també als subencarregats del tractament, tampoc no hi ha diferències substancials respecte de la regulació del RGPD, tot i que en aquest cas la relació d'aspectes que ha de contenir l'acord o el contracte d'encàrrec (art. 30.3) és més reduïda que en el RGPD. En qualsevol cas, la Llei orgànica 7/2021 remet a l'aplicació supletòria de la LOPDGDD pel que fa a la regulació de l'encarregat del tractament.
La Llei orgànica 7/2021 disposa les següents obligacions del responsable del tractament:
- Política de protecció de dades (art. 27.2)
- Protecció de dades des del disseny i protecció de dades per defecte (art. 28)
- Registre d’activitats de tractament (art. 32)
- Registre d’operacions (art. 33)
- Deure de cooperació amb l'autoritat de control (art. 34)
- Avaluació d'impacte relativa a la protecció de dades (art. 35)
- Consulta prèvia (art. 36)
- Delegat de protecció de dades (art. 40-42)
- Anàlisi de riscos i adopció de mesures de seguretat (art. 37)
- Notificació i comunicació de les violacions de seguretat (art. 38 i 39)
- Règim de les transferències internacionals (art. 43-47).
Com es pot veure, no difereixen substancialment de les que disposa el RGPD, tot i que se'n disposa alguna d'addicional (registre d'operacions) i en algun cas el contingut de les obligacions pot variar. En aquest apartat ens referirem només a les obligacions que tinguin alguna d'aquestes especificitats.
D'altra banda, la Llei orgànica 7/2021 no fa referència als codis de conducta ni a les certificacions, marques i segells, com a mecanismes per demostrar el compliment dels principis i les obligacions que estableix.
Registre d'activitats de tractament
L'obligació de portar un registre d'activitats de tractament és exigible a tots els responsables i encarregats del tractament, sense que la Llei orgànica 7/2021 en disposi cap excepció.
La informació que s'ha d'incloure en el registre d'activitats de tractament és la mateixa que en la regulació general del RGPD, si bé pel que fa al registre del responsable s'han d'afegir dos aspectes addicionals:
- El recurs a l’elaboració de perfils
- Indicació de la base jurídica del tractament.
A més, a diferència del RGPD, pel que fa a les transferències internacionals només s'exigeix que hi constin les categories de transferències internacionals, sense necessitat de fer referència a la documentació de les garanties adequades.
Els responsables del tractament han de fer públic el registre per mitjans electrònics.
El registre d'activitats de tractament s'ha de distingir del registre d'operacions, al qual ens referirem en l'apartat següent.
Registre d'operacions
Tot i que, tal com s'exposa a l'exposició de motius de la Llei orgànica, es tracta d'una mesura cabdal per acreditar el compliment de diversos principis del tractament, ens trobem davant d'una mesura estretament vinculada a la seguretat dels tractaments automatitzats.
El registre d'operacions, exigible per als tractaments automatitzats, ha d'incloure almenys les operacions de tractament següents:
- Recollida
- Alteració
- Consulta
- Comunicació
- Combinació
- Supressió.
En aquests registres hi ha de constar la justificació, la data, l'hora i, si és possible, la identificació de qui consulta o qui comunica i del destinatari de les dades.
Aquesta informació només es pot emprar amb les finalitats següents:
- Verificar la legalitat del tractament
- Autocontrol
- Garantir la seguretat i la integritat de les dades en processos penals
- Posar-la a disposició de l'autoritat de control.
Avaluació d'impacte relativa a la protecció de dades
El responsable del tractament ha de fer una avaluació d'impacte relativa a la protecció de dades (AIPD) en tots els tractaments que per la naturalesa, l'abast, el context o les finalitats que tinguin comportin un alt risc per als drets i les llibertats, en particular si utilitzen noves tecnologies.
A diferència del RGPD, la Llei orgànica 7/2021 no conté una llista de supòsits en què és exigible, sinó que conté només la regla general que s'acaba d'exposar i una remissió a les llistes de tractaments sotmesos o no sotmesos que puguin aprovar les autoritats de control.
Pel que fa al contingut de l'AIPD, es redueix, atès que no es disposa que en formi part l’avaluació de la necessitat i la proporcionalitat de les operacions de tractament. D'acord amb això, el contingut de l'AIPD ha de ser el següent:
- Descripció general de les operacions de tractament previstes
- Avaluació dels riscos per als drets i les llibertats
- Mesures per fer-hi front i per demostrar-ne el compliment.
Consulta prèvia
El responsable del tractament o, si escau, l'encarregat del tractament, han de fer una consulta prèvia a l'APDCAT en els casos següents:
- Quan després d'haver fet una AIPD en resulti un alt risc no mitigat.
- Quan el tipus de tractament, en particular quan s’emprin tecnologies, mecanismes o procediments nous, pugui generar un alt risc per als drets i les llibertats.
- Quan sigui un tractament inclòs en les llistes de tractaments que l'APDCAT hagi sotmès a consulta prèvia.
L'APDCAT, per assessorar el responsable, ha d'emetre un informe en un termini de sis setmanes, prorrogable un mes més en funció de la complexitat. Si no s'emet l'informe en aquest termini, no es pot considerar com una presumpció del caràcter favorable de l'informe. L'APDCAT també pot exercir qualsevol de les seves potestats d'investigació, correcció o consulta.
Delegat de protecció de dades
Totes les autoritats competents als efectes de la Llei orgànica 7/2021 han de designar un delegat de protecció de dades, llevat dels òrgans jurisdiccionals o del Ministeri Fiscal.
Es pot designar un mateix delegat per a diverses autoritats competents. A diferència del RGPD, la Llei orgànica 7/2021 no disposa que es pugui fer a través d'un contracte de serveis.
Pel que fa a l'estatut, la posició institucional i les funcions del delegat, se segueix a grans trets el règim establert en el RGPD, si bé cal tenir en compte que la Llei orgànica 7/2021 no estableix la possibilitat que els ciutadans puguin presentar una reclamació davant del delegat de protecció de dades, o que les autoritats de control li puguin remetre les reclamacions que rebin per resoldre-les.
Seguretat del tractament
El responsable i l'encarregat del tractament, tenint en compte l'estat de la tècnica, el cost d'aplicació, la naturalesa, l'abast, el context i les finalitats del tractament, així com els nivells de risc per als drets i les llibertats de les persones, han d'aplicar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat.
A aquests efectes, s'ha d'aplicar l'Esquema Nacional de Seguretat (ENS) per fer una avaluació de riscos a partir de la qual s'han d'implantar les mesures adequades. En els tractaments automatitzats, comporta establir mesures de control adequades amb els objectius següents:
- En el control d'accés als equipaments, denegar l'accés a persones no autoritzades als equipaments utilitzats.
- En el control dels suports de dades, impedir que puguin ser llegits, copiats, modificats o cancel·lats per persones no autoritzades.
- En el control de l'emmagatzematge, impedir que s'introdueixin sense autorització dades personals, o que es puguin inspeccionar, modificar o suprimir sense autorització.
- En el control dels usuaris, impedir que els sistemes puguin ser utilitzats per persones no autoritzades per mitjà d'instal·lacions de transmissió de dades.
- En el control de l'accés a les dades, garantir que les persones autoritzades a utilitzar un sistema només puguin tenir accés a les dades personals per als quals han estat autoritzades.
- En el control de la transmissió, garantir que sigui possible verificar i establir a quins organismes s'han transmès o es poden transmetre, o a disposició de qui es poden posar les dades personals mitjançant equipaments de comunicació de dades.
- En el control de la introducció, garantir que es pugui verificar i constatar, a posteriori, quines dades personals s'han introduït, en quin moment i qui les ha introduïdes.
- En el control del transport, impedir que, durant les transferències de dades personals o durant el transport de suports de dades, les dades personals puguin ser llegides, copiades, modificades o suprimides sense autorització.
- En el control de restabliment, garantir que els sistemes es puguin restablir en cas d'interrupció.
- En el control de fiabilitat i integritat, garantir que les funcions de sistema no presentin defectes, que els errors de funcionament siguin assenyalats i que les dades personals emmagatzemades no es degradin per fallades de funcionament del sistema.
Pel que fa a la notificació de les violacions de seguretat a l'APDCAT i a la comunicació, si escau, a les persones afectades, la regulació de la Llei orgànica 7/2021 coincideix amb la del RGPD.
Transferències internacionals de dades
Perquè es pugui fer una transferència internacional de dades a una autoritat competent d'un estat que no sigui membre de la Unió Europea o una organització internacional, cal que es compleixen les condicions següents:
a) Ha de ser necessària per a les finalitats de l’article 1.
b) El destinatari ha de ser una autoritat competent per a les finalitats de l'article 1.
c) Si la transferència afecta dades transferides a l’autoritat competent espanyola des d’un altre estat membre, cal que aquest estat hagi donat autorització per a la transmissió ulterior, d’acord amb el seu dret nacional.
d) Que es basi en algun d’aquests tres supòsits:
- La Comissió Europea hagi adoptat una decisió d’adequació.
- S’ofereixin garanties adequades a través d'algun dels mecanismes següents:
- Un instrument jurídicament vinculant.
- El responsable del tractament avaluï les circumstàncies concurrents i conclogui que existeixen garanties apropiades pel que fa a la protecció de dades personals.
- Concorri alguna de les excepcions de l'article 46:
a. Per protegir els interessos vitals o els drets i les llibertats fonamentals de la persona interessada o d'una altra persona.
b. Per salvaguardar interessos legítims de la persona interessada reconeguts per la legislació espanyola.
c. Per prevenir una amenaça greu i immediata per a la seguretat pública d'un estat, membre o no de la Unió Europea.
d. En casos individuals, als efectes de l'article 1.
e. Per a l'exercici, en un cas individual, d'accions legals o per a la defensa enfront d'aquestes en relació amb les finalitats incloses en l'article 1.
Les transferències basades en aquestes excepcions s'han de documentar (data i hora de la transferència, autoritat destinatària, justificació i dades transferides). En les excepcions de les lletres d i e, no es poden transferir les dades si l'autoritat competent determina que els drets i les llibertats de les persones afectades han de prevaler sobre l'interès públic de la transferència.
e) Si es transfereixen dades a un tercer país no membre que ja havia transmès inicialment una autoritat competent espanyola, aquesta ha d’autoritzar la transferència ulterior sobre la base dels criteris següents, entre d’altres:
- Gravetat de la infracció penal
- Finalitat per a la qual es van transferir inicialment
- Nivell de protecció de l’estat de destí.
Excepcionalment, i sens perjudici de l'existència d'acords internacionals que ho emparin, es poden transferir dades a destinataris que no siguin autoritat competent, establerts en estats no membres, si es compleixen les condicions establertes en l'article 47:
- Que sigui estrictament necessari per efectuar una funció de l'autoritat competent transmitent.
- Que l'autoritat transmitent determini que els drets de les persones afectades no han de prevaler sobre l'interès públic en la transmissió.
- Que l'autoritat transmitent consideri que la transmissió a una autoritat competent del país de destí seria ineficaç o inadequada, en particular pel que fa al termini.
- Que s'informi sense dilació indeguda l'autoritat competent del país de destí.
- Que l'autoritat transmitent informi el destinatari de la finalitat o les finalitats per a les quals pot tractar les dades.
- Que es documenti i es notifiqui a l'autoritat de control de l'autoritat transmitent.
7.6 Autoritats de control
En aquest àmbit tenen la consideració d'autoritats de control, en els àmbits d'actuació respectius:
- L'Agència Espanyola de Protecció de Dades
- Les autoritats autonòmiques de control
- La Direcció de Supervisió i Control de Protecció de Dades del CGPJ.
- La Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia.
D'acord amb el que estableix l'Estatut d'autonomia de Catalunya, l'autoritat de control competent pel que fa a l'Administració de la Generalitat i els ens locals de Catalunya és l'APDCAT.
Aquestes autoritats de control són autoritats independents. Pel que fa a les garanties de la seva independència, la Llei orgànica 7/2021 remet a la regulació del RGPD.
Les funcions de les autoritats de control coincideixen, fonamentalment, amb les de la regulació general, si bé s'ha de tenir en compte que en aquest àmbit no se'n disposen algunes que no resulten necessàries; per exemple, amb les funcions relacionades amb els codis de conducta, les certificacions o determinats instruments per a les transferències internacionals. D'altra banda, tampoc no es disposa la funció de portar un registre de les infraccions i les mesures adoptades.
Pel que fa a les potestats, se'n disposen les següents:
a) D’investigació:
- Accés a totes les dades tractades pel responsable i l'encarregat del tractament.
b) D'advertència i control:
- Sancionar les infraccions comeses.
- Elaborar recomanacions.
- Ordenar la rectificació, la supressió o la limitació del tractament.
- Ordenar la limitació temporal o definitiva del tractament, incloent-hi la prohibició.
- Ordenar als responsables del tractament comunicar les vulneracions de seguretat de les dades a les persones interessades.
c) D’assessorament:
- Consulta prèvia.
- Emissió, per pròpia iniciativa o prèvia sol·licitud, de dictàmens destinats al Parlament, al Govern o a altres institucions o organismes, així com al públic en general, sobre qüestions relacionades amb la protecció de dades.
Si bé en aquest àmbit no s'estableix un mecanisme equivalent al mecanisme de coherència del RGPD, sí que s'estableix el deure d'assistència mútua i cooperació entre les autoritats de control.
7.7 Reclamacions i règim sancionador
Reclamació davant l'autoritat de control
Les persones afectades que considerin que un tractament infringeix les disposicions de la Llei orgànica 7/2021 o que no hagin vist atesa la sol·licitud dels drets d'informació, accés, rectificació, supressió o limitació del tractament, poden presentar una reclamació davant l'APDCAT. En el primer cas, la reclamació dona lloc a un procediment sancionador, si escau; en el segon cas, dona lloc a un procediment per a la tutela de drets.
Les reclamacions s'han de tramitar d'acord amb el que estableix la Llei 32/2010. En qualsevol cas, ateses les determinacions de la Llei orgànica 7/2021, en les reclamacions per a la tutela de drets s'ha de notificar la resolució en el termini de tres mesos. En el cas dels procediments sancionadors, el termini per notificar la resolució és de sis mesos des de la data de l'acord d'inici.
Contra les resolucions emeses per l'APDCAT es pot interposar recurs potestatiu de reposició o directament recurs contenciós administratiu.
Indemnització per danys
Les persones afectades tenen dret a ser indemnitzades pel responsable del tractament i pels encarregats del tractament que formin part del sector públic, pels danys o lesions que pateixin com a conseqüència de l'incompliment de la Llei orgànica, d'acord amb la legislació reguladora de la responsabilitat patrimonial de les administracions públiques. En cas que l'actuació provingui d'un òrgan judicial o del Ministeri Fiscal, es regeix per la seva legislació específica.
Els encarregats del tractament que no formin part del sector públic han de respondre dels danys produïts com a conseqüència de l'encàrrec del tractament, llevat que hagin estat ocasionats com a conseqüència immediata i directa d'una ordre del responsable del tractament. Les persones afectades, dins l'any següent a la producció dels fets, es poden adreçar al responsable del tractament per tal que aquest, un cop escoltat l'encarregat, indiqui si considera que la responsabilitat li correspon a ell o a l'encarregat. Aquesta facultat interromp el termini de prescripció. El responsable del tractament també pot reclamar una indemnització per danys a l'encarregat, si ha incomplert la Llei orgànica 7/2021 o les determinacions de l'encàrrec del tractament.
Règim sancionador
L'exercici de la potestat sancionadora, que correspon a l'APDCAT, es regeix pel règim sancionador específic que regula la Llei orgànica 7/2021 i, en allò que no el contradigui, pel títol IX de la LOPDGDD i per la normativa reguladora de l'APDCAT.
No es poden sancionar fets que hagin estat sancionats penalment si hi ha identitat de subjecte, fets i fonament.
Si uns fets són constitutius de delicte, l'autoritat de control n'ha de passar tant de culpa a l’òrgan judicial o al Ministeri Fiscal i suspendre el procediment mentre no hi hagi resolució o el Ministeri Fiscal acordi no iniciar o prosseguir les actuacions.
En qualsevol cas, els fets provats penalment vinculen l'autoritat de control.
Subjectes responsables
El règim sancionador establert en la Llei orgànica 7/2021 és aplicable a:
a) Els responsables del tractament b) Els encarregats del tractament c) Els representants dels responsables o encarregats dels tractaments no establerts a la UE d) La resta de persones físiques o jurídiques obligades pel deure de col·laboració de l’article 7.
Infraccions
La Llei orgànica 7/2021 conté una llista exhaustiva de les infraccions, classificades en molt greus, greus i lleus:
- Molt greus: article 58
- Greus: article 59
- Lleus: article 60.
Quan uns fets es poden qualificar d’acord amb dos o més preceptes, cal tenir en compte les regles següents:
- El precepte especial preval sobre el general.
- El precepte més ampli o complex absorbeix el que ho sigui menys.
- A falta dels anteriors, s’ha d'aplicar el precepte que comporti una sanció més gran.
Si uns mateixos fets constitueixen dues infraccions diferents o quan una infracció és el mitjà per cometre’n una altra, cal aplicar la que comporta una sanció més gran.
Sancions
Pel que fa a les sancions, s'ha de distingir:
a) Subjectes inclosos en l’article 77.1 de la LOPDGDD: s’apliquen les sancions establertes en aquest article.
b) Per als altres subjectes s’estableixen les sancions següents:
- Per infraccions molt greus: de 360.000 a 1.000.000 euros.
- Per infraccions greus: de 60.000 a 360.000 euros.
- Per infraccions lleus: de 6.000 a 60.000 euros.
Les circumstàncies de graduació de l'import de les sancions econòmiques són les que estableixen el RGPD i la LOPDGDD.
Prescripció
Les infraccions prescriuen en els terminis següents, a comptar des de la data en què tenen lloc o, en les infraccions continuades o permanents, quan acaba la conducta:
- Infraccions lleus: 6 mesos
- Infraccions greus: 2 anys
- Infraccions molt greus: 3 anys.
La prescripció de les infraccions s'interromp per:
- L’inici del procediment sancionador amb coneixement de la persona interessada. Es reinicia si està sis mesos paralitzat per causa no imputable a la persona interessada.
- L’obertura d’un procediment judicial penal, fins que l’autoritat judicial en comuniqui la finalització.
Les sancions prescriuen en els terminis següents, a comptar des de la data que siguin fermes en via administrativa:
- Sancions lleus: 1 any
- Sancions greus: 2 anys
- Sancions molt greus: 3 anys.
La prescripció de les sancions s’interromp per l’inici, amb coneixement de la persona interessada, del procediment d’execució, i torna a transcórrer si està sis mesos paralitzat per causa no imputable a l’infractor.