Tratamiento de datos personales por autoridades competentes: Directiva 2016/680 o ¿Robocop?

En Secuoya habrás podido leer infinidad de artículos sobre el RGPD, e incluso uno sobre el Reglamento Europeo de datos no personales escrito por Elena Gil González (enlace al post), pero todavía no se había publicado nada sobre la Directiva 2016/680 relativa al tratamiento de datos personales por las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales,  ejecución de sanciones penales, y de libre circulación de los mismos.

A primera vista, esta Directiva tiene la misma estructura que el RGPD, siendo en ciertas partes la redacción casi idéntica, pero con la particularidad de ser mucho más limitada y restrictiva. Casi parecen dos gemelos separados al nacer, en el que el 1º haya sido educado en un barrio de postín (por lo del rango de Reglamento Europeo) para ser el “Jesucristo” de la privacidad, mientras que el 2º , tras crecer en el peor barrio de la ciudad viendo como los criminales escapaban a la justicia por la “protección de datos personales”, haya jurado convertirse en el “Robocop” de los agentes de la ley para garantizar que cumplan su debido castigo sin que puedan esconderse tras el 18.4 de la Constitución.

¿Qué se puede destacar de esta Directiva en comparativa con el RGPD?

Como ya se puede extraer de su muy concreta (y larguísima) denominación, se aplica al tratamiento de datos personales que llevan a cabo las autoridades competentes (públicas o privadas conferidas de estas potestades que menciona la Directiva), incluyendo a la necesaria cooperación a nivel europeo que hace que sea efectiva sin esas “trabas” que implicaría en rigor la protección de datos personales pura; pero con el puntito de “Déjà vu de Petito Grillo datero” para que el estado miembro pueda ser menos “Robocop” en la Ley que trasponga este texto a su normativa nacional:

Como puntos más llamativos, y que justifican la chaladura del autor de llamarla “Robocop”, tenemos los siguientes:

  • Los datos personales tratados se ordenen en función de cuatro categorías de interesados (artículo 6):
    • Personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer un delito.
    • Personas condenadas por cometer un delito
    • Víctimas de una delito o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas.
    • Terceros involucrados en una infracción penal, personas que puedan facilitar información sobre las, o personas de contacto o relacionadas con aquellos que hubieran cometido un delito, o que haya sospechas de que fueran a cometerlo.
  • Si hay fines distintos, a jugar con el RGPD (artículo 9): en el momento en que esos datos personales se apliquen para otros fines distintos a los mencionados, entonces entra a jugar sobre ellos el RGPD.
  • Respeto a la norma del estado miembro de origen (artículo 9): el organismo competente, destinatario de los datos que le remita otra autoridad de un país de la UE, debe respetar las condiciones específicas que la ley nacional del organismo transmisor prevea para esos datos personales.
  • Solo se podrán tratar datos de categoría especial (artículo 10) si lo permite una norma nacional (como ya sabemos con rango de ley), sea necesario para proteger intereses vitales, o sobre datos hechos “manifiestamente públicos” por el interesado.
  • Decisiones totalmente automatizadas (artículo 11): solo cuando que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
  • Información (artículo 13): se debe garantizar al interesado la 1º capa de información en términos similares a los marcados en los artículos 13 y 14 del RGPD, pero se permite que cada estado, por norma nacional, pueda omitir, limitar o retrasar la información completa (2º capa) del tratamiento en atención a que la medida sea necesaria y proporcional a una “sociedad democrática” (una literalidad que nos recuerda tristemente a cierta reforma de la LOREG) para los supuestos tasados y típicos de esta materia: seguridad nacional, investigación y prevención de delitos….
  • Limitación al derecho de acceso (artículo 15): una vez más, se permite que la norma nacional de transposición de esta Directiva limite o deniegue totalmente este derecho en atención a supuestos idénticos a los del deber de información. Se deberá informar al interesado de la denegación o limitación de su ejercicio de este derecho de manera justificada, salvo que, otra vez, se pueda ampararse el responsable en uno de estos supuestos citados en la imagen anterior para no hacerlo. Como límite mínimo se exige que se le deba comunicar al interesado que puede reclamar ante la autoridad de control competente y los tribunales.
  • Limitación a los derechos de rectificación, supresión y limitación (artículo 16): idéntico al deber de información y al caso anterior.
  • Corresponsabilidad (artículo 21): regulación idéntica a la del RGPD, pero sin la obligación de informar a los interesados de los puntos principales del acuerdo.
  • Registro de operaciones (artículo 25): en vez de un registro de actividades de tratamiento, la norma obliga al responsable y al encargado del tratamiento a llevar (y poner a disposición de la autoridad de control) un registro más limitado que el del RGPD, con la siguiente información: las operaciones de tratamiento en sistemas de tratamiento automatizados siguientes: recogida, alteración, consulta, comunicación incluidas las transferencias, combinación o supresión, alteración, consulta, comunicación incluidas las transferencias, combinación o supresión, el nombre de la persona que consultó o comunicó datos personales, así como la identidad de los destinatarios de los datos.
  • Medidas de seguridad (artículo 29): un enfoque similar al del RGPD basado en los mismos principios, pero con un catálogo de medidas más concretas:
  • Violaciones de seguridad (artículos 30 y 31): al igual que el RGPD exige la notificación de cualquier violación de seguridad que sea probable que suponga un riesgo para el interesado a la autoridad de control, así como de llevar un registro de todas que las sucedan. Al igual que en el caso del deber de información y el ejercicio de derecho, se puede por norma nacional limitar o no notificar al interesado en atención a esos supuestos de necesidad pública mencionados (investigación, seguridad pública….)
  • Autoridad de control (artículo 41): esta Directiva deja que sea la Ley nacional la que deba decidir si se les adjudica esta competencia a las autoridades en materia de protección de datos, o se crean otras específicas, con el único límite (como marca también el RGPD) de que se designe una como representante ante el Comité Europeo de Protección de Datos.

¿Y qué dice la Ley española que traspone esta Directiva?

La verdad es que no puede decir mucho, debido, principalmente, a que no existe ni se la espera en un período razonable de tiempo (el plazo máximo acababa el 6 de mayo del pasado 2018), aun cuando la Comisión Europea ha decidido llevarnos de la oreja junto a Grecia para que el TJUE nos imponga un guantazo económico considerable hasta que cumplamos con los deberes del profe UE .

Nuestra LOPDgdd, sabedora de este hecho y de que los juristas somo monstruos que nos regodeamos en los fallos del legislador, organizó una jugada maestra en tres fases:

  • El artículo 22.6 sobre videovigilancia realizada por las fuerzas y cuerpos de seguridad y los organismos competentes en centro penitenciarios, determina que cuando se realicen con los fines que marca la directiva, se regirán por la normativa de transposición de la Directiva.
  • La Disposición Transitoria 4º nos comenta que como la norma de trasposición no existe, esto se regula por la antigua LOPD y sus disposiciones de desarrollo.
  • Finalmente, la Disposición Derogatorio Única, nos recuerda que la LOPD está muerta y enterrada, para casi todo, pero no para esto en concreto.

En conclusión, un galimatías temporal que podría haber tenido el detalle, ya que se pone el legislador a marear, de recordar que en materia de videovigilancia pública la norma es la Ley Orgánica 4/1997 de utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos; y que esa otra pata judicial que se obvia y que la Directiva incluye por no limitarlo a actividad policial, se rige por la Ley Orgánica del Poder Judicial.

Sin más que decir, esperamos que el TJUE se apiade de todos nosotros, y que el legislador haga caso a tiempo a Bruselas a tiempo para evitar estos mareos jurídicos y pagar las multas a cargo de los de siempre, claro.