El maig del 2016 es va aprovar un paquet de mesures sobre protecció de dades amb l’objectiu de dotar la Unió Europea de normes robustes per fer front a la nova societat digital. D'una banda, es va aprovar el Reglament general de protecció de dades (RGPD), que és aplicable directament des del 25 de maig de 2018, sense necessitat de cap norma de transposició a l’ordenament jurídic espanyol. De l’altra, es va aprovar la Directiva 2016/680, relativa a la protecció de dades en l’àmbit penal (Directiva 680), que va entrar en vigor el 5 de maig de 2016, i que els estats membres han d'aplicar com a molt tard fins al 6 de maig de 2018. Aquesta Directiva, com s'indica en els considerants, busca garantir l'eficàcia de la cooperació judicial en matèria penal i de la cooperació policial, per tal d'assegurar un nivell uniforme i elevat de protecció de les dades personals de les persones i facilitar l'intercanvi de dades personals entre les autoritats competents dels estats membres, per assolir un nivell de protecció equivalent a tots els estats membres.
La regulació vol facilitar la lliure circulació de dades personals entre les autoritats competents per a fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, incloent-hi la protecció i la prevenció enfront de les amenaces per a la seguretat pública, en el si de la Unió, i la transferència d'aquestes dades personals a tercers països i organitzacions internacionals, dins d'un marc sòlid i coherent que garanteixi un alt nivell de protecció de les dades personals a la Unió Europea. Aquest marc és essencial en una situació de ràpida evolució tecnològica i de globalització, que genera nous reptes per als drets i les llibertats de les persones i noves formes d'activitat criminal.
Finalment, la Directiva 680 ha estat transposada al nostre ordenament jurídic mitjançant la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb fins de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d’execució de sancions penals. Per tant, amb tres anys de retard i després d’una important sanció a Espanya per part del Tribunal de Justícia de la Unió Europea de 15 milions d'euros i una multa de 89.000 euros diaris, des del 25 de febrer, fins a la publicació de la norma al Butlletí Oficial de l’Estat, que es va produir el passat 27 de maig. Entra en vigor el 16 de juny de 2021, i només cal recordar que fins a l'entrada en vigor és aplicable l’article 22 de la Llei orgànica 15/1999, segons establia la disposició transitòria quarta de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.
La Llei orgànica 7/2021 té per objectiu establir les normes relatives a la protecció de les persones respecte del tractament de les seves dades personals en el context policial i judicial penal. En concret, la norma es refereix a les víctimes, testimonis, sospitosos de delictes o tercers involucrats en una infracció penal.
Per començar a entrar en el contingut d’aquesta norma, faré referència a alguna de les particularitats regulades respecte del principi de transparència i del dret d’informació.
En primer lloc, la Llei 7/2021 no recull, com a tal, el principi de transparència dins dels principis relatius al tractament de dades (art. 6). En aquest sentit, el considerant 26 de la Directiva 680 indica que tot tractament de dades personals ha de ser lícit, lleial i transparent en relació amb les persones interessades, però això no impedeix, per se, que les autoritats policials puguin dur a terme activitats com ara les investigacions encobertes o la videovigilància que es poden portar a terme amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, sempre que estiguin establertes en la legislació i constitueixin una mesura necessària i proporcionada en una societat democràtica, amb el respecte degut als interessos legítims de la persona física afectada.
En aquest marc, l’article 20 de la Llei 7/2021, relatiu a les condicions generals per a l’exercici dels drets de les persones interessades, estableix que el responsable del tractament ha de facilitar a la persona interessada, de forma concisa, intel·ligible, de fàcil accés i amb llenguatge clar i senzill per a totes les persones, incloent-hi les persones amb discapacitat, la informació recollida en l’article 21 (informació que s'ha de posar a disposició de les persones interessades). Per tant, la informació que s’ha de facilitar a la persona interessada ha de ser comprensible per a ella.
Fixem-nos que aquest article 21 parla de “posar a disposició”, però no es fa referència al moment en què cal facilitar-la.
L’article 21 regula dos nivells/graus d’informació. En l'apartat 1, s’indica que el responsable del tractament ha de posar a disposició de la persona interessada la informació següent:
- a) La identificació del responsable del tractament i les seves dades de contacte.
- b) Les dades de contacte del delegat de protecció de dades, si s'escau.
- c) Les finalitats del tractament a què es destinin les dades personals.
- d) El dret a presentar una reclamació davant l'autoritat de protecció de dades competent i les dades de contacte d'aquesta.
- e) El dret a sol·licitar al responsable del tractament l'accés a les dades personals relatives a la persona interessada i la rectificació, la supressió o la limitació del tractament de dades.
En el considerant 42, s'indica que aquesta informació es pot facilitar a través de la pàgina web del responsable del tractament.
D’altra banda, a més d’aquesta informació, però atenent a les circumstàncies del cas concret, el responsable del tractament ha de proporcionar a la persona interessada la següent informació addicional per permetre l'exercici dels seus drets (art. 21.2):
- a) La base jurídica del tractament.
- b) El termini durant el qual s'han de conservar les dades personals o, quan això no sigui possible, els criteris utilitzats per determinar aquest termini.
- c) Les categories de destinataris de les dades personals, quan correspongui, en particular els establerts en estats que no siguin membres de la Unió Europea o organitzacions internacionals.
- d) Qualsevol altra informació necessària, especialment quan les dades personals s'hagin recollit sense coneixement de la persona interessada.
Per tant, veiem que el responsable del tractament ha de portar a terme una tasca de valoració per determinar la informació a facilitar, tot això dins del marc del principi de responsabilitat proactiva (art. 6.5) i enfocament en el risc (art. 27). En qualsevol cas, recordem que estem davant d’un dret fonamental i que, per tant, qualsevol límit s'ha d'interpretar de manera restrictiva.
En relació amb els límits que es poden establir al dret d’informació, l’article 24 estableix que el responsable del tractament pot ajornar, limitar o ometre la informació a la qual es refereix l'article 21.2; sempre que, tenint en compte els drets fonamentals i els interessos legítims de la persona interessada, resulti necessari i proporcional per aconseguir els fins següents:
- a) Impedir que s'obstaculitzin indagacions, investigacions o procediments judicials.
- b) Evitar que es causi perjudici a la prevenció, la detecció, la investigació i l'enjudiciament d'infraccions penals o a l'execució de sancions penals.
- c) Protegir la seguretat pública.
- d) Protegir la seguretat nacional.
- e) Protegir els drets i les llibertats d'altres persones.
En cas d’ajornament, limitació o omissió, la persona interessada pot exercir el seu dret a través de l’autoritat de protecció de dades, qüestió de què ha d’haver estat informada pel responsable del tractament. L’autoritat, en tot cas, ha d’informar la persona interessada que ha portat a terme totes les comprovacions necessàries o la revisió corresponent, així com del dret a interposar un recurs contenciós administratiu.
Respecte dels límits al dret d’informació, cal tenir present que l’article 7.4 també regula l’exclusió de la informació a la persona interessada en relació amb la transmissió o l'accés a les seves dades personals a les autoritats competents (autoritats judicials, Ministeri Fiscal, policia judicial), en compliment del deure de col·laboració, amb la finalitat de garantir l’activitat investigadora.
Finalment, en relació amb el dret d’informació, l’article 26 estableix que s'ha d'exercir de conformitat amb les normes processals penals quan les dades personals figurin en una resolució judicial, o en un registre, en diligències o en expedients tramitats en el curs d'investigacions i processos penals.
En cas que el responsable del tractament sigui responsable d'un òrgan de l'ordre jurisdiccional penal, o el Ministeri Fiscal, i les dades siguin tractades amb fins jurisdiccionals, l'exercici del dret d'informació s'ha de fer de conformitat amb el que disposen la Llei orgànica 6/1985, d'1 de juliol, les normes processals o, si escau, l'Estatut orgànic del Ministeri Fiscal. A falta de regulació d'aquestes normes, s'ha d'aplicar el que disposa la Llei 7/2021.