Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Publica el BOE de 27.05.2021 la Ley Orgánica 7/2021, de 26 de mayo (en vigor a partir del 16.06.2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, tras los avisos de retraso del TJUE (STJUE 25 de febrero de 2021, C-658/19) en la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Esta norma determina la forma de desarrollar el tratamiento de datos personales con fines jurisdiccionales penales (art. 2.1 LO 7/2021 y art. 236 ter 2 LOPJ), quedando regulado el tratamiento con fines no jurisdiccionales por el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y su normativa de desarrollo. Esta transposición y adaptación a nuestro ordenamiento de la Normativa Europea (Derecho de la Unión y, por tanto, materia abarcada por el art. 267 TFUE) se desarrolla con el siguiente diseño.

1. Determina como objeto material principal de protección con ocasión del ejercicio de la función jurisdiccional penal (Capítulo I) de

• Los «datos personales», como toda información sobre una persona física identificada o identificable: «el interesado».
• Su «tratamiento», entendida como cualquier operación realizada sobre datos personales automatizadas o no como (i.e.) la recogida, consulta, utilización, difusión o cualquier otra forma de habilitación de acceso.
• Los principios y las normas que han de regir el tratamiento.
• Los derechos de los interesados.
• Y las consecuencias de la vulneración de los derechos de los interesados o la «violación de la seguridad de los datos personales», entendida como la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados

2. Establece como principios aplicables al tratamiento de datos, que éstos deben ser (Capítulo II):

• Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.
• Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados
• Exactos y, si fuera necesario, actualizados; siendo necesaria la distinción entre datos basados en hechos, y datos basados en apreciaciones personales, como criterio de verificación de la calidad de los datos (Capítulo II).
• Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.
• Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas.

3. Decanta como derechos del interesado en relación a tratamiento de datos con fines jurisdiccionales penales:

• La Información (art. 21 LO 7/2021);
• El acceso (art. 22 LO 7/2021);
• La rectificación, supresión y limitación de tratamiento (art. 23 LO 7/2021);
• Y determina especialidades a los mismos por razón de los fines de la actividad de tratamiento, con referencia como régimen normativo principal de aplicación ante actuaciones judiciales y del Ministerio Fiscal la prevista en al LOPJ y en el Estatuto, siendo esta LO supletoria en lo no previsto por las anteriores (art. 24 LO 7/2021).

4. Con respecto a los terceros distintos del interesado, determina como marco el deber de colaboración de las administraciones públicas y cualquier persona física o jurídica en proporcionar los datos que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial, salvo que legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento (art. 7 LO 7/2021) debiendo transmitirse junto con el dato la valoración de su calidad, exactitud y actualización del mismo, y no debiendo transmitirse datos inexactos, incompletos o no estén actualizados (art. 10 LO 7/2021).

5. Para la protección del bien jurídico tutelado (arts. 8.1 CDFUE, 16.2 TFUE y 18.4 CE) de acuerdo con las disposiciones de la Directiva y la LO, se establecen tres líneas de defensa de la protección de datos tratados con fines jurisdiccionales penales:

• Primera línea: responsables y encargados del tratamiento: deben desarrollar su actuación conforme a normativa y recibir y resolver, en su caso, las solicitudes de ejercicio de derechos de los interesados.
• Segunda línea: Autoridades de protección de datos, que deben (art. 52.1 LO 7/2021):
  • Recibir el ejercicio de derechos por el interesado en los casos en que se produzca un aplazamiento, limitación u omisión de la información de derechos o una restricción del ejercicio de los derechos por los responsables del tratamiento.
  • Tramitar y responder las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable (art. 25 LO 7/2021).
  • Ejercer la potestad sancionadora sobre responsables y encargados del tratamiento (art. 61 LO 7/2021).
• Tercera línea: supervisión de la Jurisdicción Contencioso-Administrativa de la actuación y resoluciones de encargados, responsables, y autoridades de protección de datos (arts. 52.4 y 55 LO 7/2021).

6. En relación a las administraciones involucradas en el desarrollo de la función jurisdiccional penal, la LO establece quienes son los protagonistas de estas tres líneas de defensa:

• Actuaciones judiciales:
  • Primera línea: Órgano competente y, dentro de él, Magistrados, Jueces y Letrados de la Administración de Justicia que tengan atribuida la competencia orgánica y procesal (Arts. 4.2.1 y 26.1 LO 7/2021 y arts. 236 bis 2 y 236 quinquies 1 y 2, 236 septies 1 LOPJ).
  • Segunda línea: Autoridad: Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (arts. 236 octies 1.e y 236 nonies 1 LOPJ).
  • Tercera línea: Jurisdicción Contencioso-Administrativa.
• Actuaciones del Ministerio Fiscal:
  • Primera línea: Fiscalías y oficina fiscal y, dentro de las mismas, quienes tengan atribuida la competencia orgánica y procesal (Art. 4.2.1 LO 7/2021 y arts. 236 quinquies 2, 236 septies 1 LOPJ).
  • Segunda línea: Autoridad: Unidad de Supervisión y Control de Protección de Datos (art. 20 L 50/1981).
  • Tercera línea: Jurisdicción Contencioso-Administrativa.
• Actuaciones de Fuerzas y Cuerpos de Seguridad, Administraciones Penitenciarias, Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria, Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
  • Primera línea: Encargados y responsables determinados por cada una de las administraciones.
  • Segunda línea: Autoridad independiente: Agencia Española de Protección de Datos.
  • Tercera línea: Jurisdicción Contencioso-Administrativa, Sala de lo Contencioso de la Audiencia Nacional (Apartado 5 DA 4ª de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa).

7. Además, la LO establece el régimen sancionador de los responsables y encargados del tratamiento de acuerdo con las infracciones tipificadas (muy graves. art. 58; graves, art. 59; leves art. 60 LO 7/2021) el derecho a la indemnización del interesado en caso de que sufran daño o lesión en sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en la LO:

• De acuerdo con las previsiones de los 292 y ss LOPJ en el caso de que procedan de actuaciones judiciales o fiscales (art. 53.3 LO 7/2021).
• De acuerdo con las previsiones de los 32 y ss de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y 65, 67, 91 y 92 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (art. 53.2 LO 7/2021).

8. Y, por último, regula:

• Un régimen disciplinario específico para las Fuerzas y Cuerpos de Seguridad del Estado en relación al ámbito de la video vigilancia por alterar o manipular los registros de imágenes y sonidos, siempre que no constituya delito; permitir el acceso de personas no autorizadas a las imágenes y sonidos grabados o utilizar estos para fines distintos de los previstos legalmente; reproducir las imágenes y sonidos para fines distintos de los previstos en esta Ley Orgánica; o utilizar los medios técnicos regulados en esta Ley Orgánica para fines distintos de los previstos en la misma (art. 19.2 LO 7/2021).
• Las transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales (Capítulo V).
• Las modificaciones necesarias de la LOPJ, y de la Ley reguladora del Estatuto Orgánico del Ministerio Fiscal, creando la Unidad de Supervisión y Control de Protección de Datos y regulando su funcionamiento.
• Modificación de la LOGP, añadiendo un art. 15 bis para referirse al contenido de la LO 7/2021.