Observatorio

FECHA: 26 de Mayo de 2021

PUBLICACIÓN: BOE 27 de Mayo de 2021

Entrada en vigor:

• Entrada en vigor de la LO 7/2021, de 26 de mayo: 16/06/2021
• Entrada en vigor del capítulo IV: 16/12/2021

La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, publicada en el BOE del 27 de mayo de 2021, entrará en vigor a los 20 días de su publicación, salvo las previsiones contenidas en el capítulo IV (obligaciones y responsabilidades de los responsables y encargados de protección de datos), que producirán efectos a los 6 meses de la entrada en vigor de la LO.

La Disposición final novena, señala que esta ley tiene el carácter de ley orgánica, pero que los capítulos VI, VII y VIII y las disposiciones finales 2ª, 6ª, 7ª y 8ª, tendrán carácter ordinario.

Objeto de la ley

El objeto de la norma es la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que tengan la consideración de autoridades competentes.

Conforme al artículo 22.6 de la Ley Orgánica 3/2018, cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en esta Ley Orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta Ley Orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos.

La nueva ley no se aplica a los tratamientos de datos de personas fallecidas. Sin embargo, las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar al responsable o encargado del tratamiento el acceso, rectificación o supresión de los datos de aquel. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o por el Ministerio Fiscal. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse por quienes hubiesen sido designados para el ejercicio de funciones de apoyo.

MODIFICACIONES DE OTRAS NORMAS

La LO 7/2021, de 26 de mayo, introduce modificaciones en las siguientes normas:

Modifica:

1. Los artículos 234, 235, 235 bis, 236 a 236 decies, y el ordinal 19.º del apartado 1 del artículo 560 de la Ley Orgánica 6/1985 del Poder Judicial.

2. El apartado 3 del artículo 44 y la disposición adicional decimoquinta de la Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales.

3. El artículo 10 de la Ley Orgánica 1/2020 sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

4. El artículo 30 de la Ley 19/2007 contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.

5. El artículo 69 de la Ley 5/2014 de Seguridad Privada.

6. El artículo 68 del texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015.

Incorpora:

1. El artículo 15 bis en la Ley Orgánica 1/1979 General Penitenciaria.

2. El apartado n) del artículo 12, la letra l) en el apartado 4 del artículo 14 y el apartado 4 del artículo 20 de la Ley 50/1981 Reguladora del Estatuto Orgánico del Ministerio Fiscal.

3. El apartado 5 en el artículo 2 de la Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales.

Incorpora al ordenamiento jurídico español la Directiva (UE) 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI.

Autoridad competente

El artículo 4 determina que serán autoridades competentes las siguientes:

1. Las Fuerzas y Cuerpos de Seguridad.
2. Las Administraciones Penitenciarias.
3. La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.
4. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
5. La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
6. Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal

Ámbito de aplicación

Se excluyen expresamente del ámbito de aplicación de la norma ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los cubiertos por la Ley Orgánica, los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común, los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea y los sometidos a la normativa sobre materias clasificadas, entre estos últimos, los relativos a la Defensa Nacional.

Principales Novedades. 

La ley se compone por sesenta y cinco artículos estructurados en ocho capítulos en los que se regulan cuestiones como los principios relativos al tratamiento de datos personales, los derechos de los interesados, las obligaciones de los responsables y encargados del tratamiento, las medidas de seguridad o las transferencias internacionales de datos.

Entre las novedades de la Ley Orgánica 7/2021, la ley incluye en su artículo 7 el denominado “deber de colaboración”. Una obligación que afecta tanto a Administraciones Públicas como a cualquier persona física o jurídica. El deber de colaboración exige proporcionar a las autoridades autorizadas los datos, informes, antecedentes y justificantes que se soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales, para la ejecución de las penas o, también, para la prevención y protección frente a un peligro real y grave para la seguridad pública. Todo ello, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Esta última precisión resulta fundamental para evitar que la puesta de la información a disposición del interesado pueda poner en peligro los fines que, de acuerdo con la directiva y esta Ley Orgánica, justifican el tratamiento de los datos.

se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones.

El responsable del tratamiento deberá también diferenciar entre las distintas categorías de interesados:

1. Personas sospechosas que hayan cometido, puedan cometer o colaborar en la comisión de una infracción penal.
2. Personas condenadas o sancionadas por una infracción penal.
3. Víctimas o afectados por una infracción penal o que puedan serlo.
4. Terceros involucrados en una infracción penal.
5. El responsable del tratamiento deberá determinar el período de conservación de los datos personales

El capítulo III, se divide en dos secciones y aborda los derechos de las personas. Regula una serie de condiciones generales del ejercicio de los derechos, tales como la obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se establece la información que debe ponerse a disposición del interesado, siendo algunos datos obligatorios, en todo caso, y otros en casos concretos.

En lo relativo a los derechos de los interesados, se contemplan los derechos de acceso, rectificación, supresión y limitación del tratamiento. Sin embargo, estos pueden ser restringidos en determinadas circunstancias. Por ejemplo, cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o nacional.

El capítulo IV recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos, a lo largo de tres secciones.

Tanto responsables como encargados del tratamiento estarán obligados a conservar un registro de las actividades de tratamiento. Incluirá, entre otros, los datos identificativos, los fines o categorías, así como un registro de operaciones. Este último comprenderá la recogida, la alteración, las consultas, las transferencias de los datos personales, entre otras operaciones realizadas.

El delegado de protección de datos se configura como el órgano o figura de asesoramiento y supervisión de los responsables de protección de datos, que podrá ser único para varias autoridades competentes y cuya designación será obligatoria salvo en relación con los tratamientos de datos con fines jurisdiccionales. En el caso de que se dispongan tratamientos que queden bajo distintos ámbitos de aplicación, con el fin de evitar disfunciones en las organizaciones de las autoridades competentes, se establece que la figura del delegado de protección de datos será única para todos ellos.

Un aspecto importante a destacar de esta ley es la especial atención que presta a la seguridad del tratamiento. En su art. 31.1 establece que se deberán aplicar a los datos personales de categoría especial las medidas incluidas en el Esquema Nacional de Seguridad.

Sin embargo, con respecto al tratamiento automatizado, tanto el responsable como el encargado del tratamiento deberán también implementar una batería de medidas. Medidas que se aplicarán atendiendo a los resultados obtenidos en la evaluación de riesgos que se haya realizado.

En cuanto a los plazos de conservación, la ley determina que será el responsable quien deberá revisar (como máximo cada 3 años) la necesidad de conservar, limitar o suprimir los datos en función del tratamiento realizado. Con carácter general, el plazo máximo que traslada esta ley para la supresión de los datos es de 20 años, salvo algunas excepciones.

Procedimientos de reclamación

La ley establece que los procedimientos de reclamación que se planteen ante las autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre o por la normativa reguladora de la autoridad de protección de datos y se refiere a los supuestos en que los responsables o encargados del tratamiento o la autoridad de protección de datos incumplan la Ley Orgánica y generen un daño o lesión al interesado.

Sin perjuicio de cualquier otro recurso administrativo o reclamación, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.

Régimen Sancionador

Finalmente, el capítulo VIII regula el régimen sancionador específico aplicable ante incumplimientos de las obligaciones previstas en esta Ley Orgánica. Se definen los sujetos sobre los que recaerá la responsabilidad por las infracciones cometidas. Se determinan las reglas del concurso de normas para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más de ellas, al tiempo que se tipifican las infracciones, que, en función de su gravedad, podrán ser leves, graves o muy graves. Por último, se establecen las sanciones que se pueden imponer, y se fijan los plazos de prescripción tanto de las infracciones como de las sanciones y de caducidad.