certificaciÓn de acuerdo relativo a informe...2020/06/25 · poder judicial, a efectos de la...
TRANSCRIPT
![Page 1: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/1.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 1
CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME
Acto que se certifica: Acuerdo adoptado por el Pleno del Consejo General
del Poder Judicial en su reunión del día 25 de junio de 2020, por el que se ha
aprobado el siguiente:
INFORME SOBRE EL ANTEPROYECTO DE LEY ORGÁNICA DE
PROTECCIÓN DE DATOS PERSONALES TRATADOS PARA FINES DE
PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN O ENJUICIAMIENTO
DE INFRACCIONES PENALES Y DE EJECUCIÓN DE SANCIONES
PENALES, ASÍ COMO DE PROTECCIÓN Y PREVENCIÓN FRENTE A LAS
AMENAZAS CONTRA LA SEGURIDAD PÚBLICA
I. ANTECEDENTES
1.- Con fecha 2 de abril de 2020, procedente de la Secretaría de Estado de
Justicia del Ministerio de Justicia, tuvo entrada en el Consejo General del
Poder Judicial, a efectos de la evacuación del correspondiente informe,
conforme a lo dispuesto en el artículo 561.1 de la Ley Orgánica 6/1985, de 1
de julio, del Poder Judicial, el Anteproyecto de Ley Orgánica de Protección de
datos personales tratados para fines de prevención, detección, investigación
o enjuiciamiento de infracciones penales y de ejecución de sanciones penales,
así como de protección y prevención frente a las amenazas contra la
seguridad pública. Asimismo, al amparo de lo previsto en el artículo 561.2
LOPJ, se solicita la emisión del informe con carácter urgente e improrrogable.
El texto remitido viene acompañado de la correspondiente Memoria del
Análisis de Impacto Normativo del Anteproyecto (MAIN en adelante).
2.- La Comisión Permanente del Consejo, en su reunión del día 8 de abril de
2020, designó Ponentes de este informe a los Vocales Dña. María Victoria
Cinto Lapuente y Don Enrique Lucas Murillo de la Cueva.
II. CONSIDERACIONES GENERALES SOBRE LA FUNCIÓN
CONSULTIVA DEL CGPJ
![Page 2: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/2.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 2
3.- La función consultiva del Consejo General del Poder Judicial a que se
refiere el artículo 561 de la Ley Orgánica del Poder Judicial (en la redacción
dada a dicho precepto por la Ley Orgánica 4/2013, de 28 de junio), tiene por
objeto los anteproyectos de leyes y disposiciones generales que afecten total
o parcialmente, entre otras materias expresadas en el citado precepto legal,
a “[n]ormas procesales o que afecten a aspectos jurídico-constitucionales de
la tutela ante los Tribunales ordinarios del ejercicio de derechos
fundamentales”, y “cualquier otra cuestión que el Gobierno, las Cortes
Generales o, en su caso, las Asambleas Legislativas de las Comunidades
Autónomas estimen oportuna” (apartados 6 y 9 del art. 561.1 LOPJ).
4.- Atendiendo a este dictado, en aras a una correcta interpretación del
alcance y sentido de la potestad consultiva que allí se prevé a favor de este
Consejo, no puede prescindirse del hecho de que la regulación proyectada
concierne, de manera especial, al derecho fundamental a la protección de los
datos personales que consagran el artículo 8 CDFUE y el 18.4 CE y, por tanto,
incide en aspectos jurídico-constitucionales de la tutela de tal derecho, lo que
determinará el alcance del informe que se emite por este órgano
constitucional.
5.- Sin perjuicio de lo anterior, y con arreglo al principio de colaboración entre
los órganos constitucionales, el Consejo General del Poder Judicial ha venido
indicando la oportunidad de efectuar en sus informes otras consideraciones
relativas, en particular, a cuestiones de técnica legislativa o de orden
terminológico, con el fin de contribuir a mejorar la corrección de los textos
normativos y, por consiguiente, a su efectiva aplicabilidad en los procesos
judiciales, por cuanto son los órganos jurisdiccionales quienes, en última
instancia, habrán de aplicar posteriormente las normas sometidas a informe
de este Consejo, una vez aprobadas por el órgano competente.
III. ESTRUCTURA Y CONTENIDO DEL ANTEPROYECTO
6.- El Anteproyecto consta de una exposición de motivos, ocho capítulos que
engloban un total de 55 artículos, dos disposiciones adicionales y nueve
disposiciones finales.
7.- Se estructura de la siguiente forma:
![Page 3: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/3.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 3
- Un Capítulo I, que lleva por rúbrica “[d]isposiciones generales”, y
abarca los artículos 1 a 3: Artículo 1. Objeto, Artículo 2. Ámbito de
aplicación, Artículo 3. Definiciones.
- El Capítulo II, rubricado “Principios”, que comprende los artículos 4 a
12: Artículo 4. Principios relativos al tratamiento de datos personales,
Artículo 5. Colaboración con las autoridades competentes, Artículo 6.
Plazos de conservación y revisión, Artículo 7. Distinción entre
categorías de interesados, Artículo 8. Verificación de la calidad de los
datos personales, Artículo 9. Licitud del tratamiento, Artículo 10.
Condiciones específicas de tratamiento, Artículo 11. Tratamiento de
categorías especiales de datos personales y Artículo 12. Mecanismo de
decisión individual automatizado.
- El Capítulo III se dedica a los “Derechos de las personas”, y se articula,
a su vez, en dos secciones, con el siguiente rubricado y contenido:
La Sección 1ª dedicada al «Régimen general», abarcando los
artículos 13 a 18: Artículo 13. Condiciones generales de ejercicio
de los derechos de los interesados, Artículo 14. Información que
debe ponerse a disposición del interesado, Artículo 15. Derecho
de acceso del interesado a sus datos personales, Artículo 16.
Derecho de rectificación o supresión de datos personales y
limitación de su tratamiento, Artículo 17. Restricciones a los
derechos de información, acceso, rectificación o supresión de
datos personales y a la limitación de su tratamiento, Artículo 18.
Ejercicio de los derechos del interesado a través de la autoridad
de protección de datos.
La Sección 2ª al «Régimen especial», estando integrada por un
único precepto, el Artículo 19. Condiciones especiales de
ejercicio de los derechos de los interesados como consecuencia
de investigaciones y procesos penales.
- El Capítulo IV aborda la regulación del «[r]esponsable y encargado de
tratamiento» en los artículos 20 a 35, divididos en tres secciones:
La Sección 1.ª, «Obligaciones generales», integrada por el
Artículo 20. Obligaciones del responsable del tratamiento; el
Artículo 21. Protección de datos desde el diseño y por defecto;
el Artículo 22. Corresponsables del tratamiento; el Artículo 23.
Encargado del tratamiento; el Artículo 24. Tratamiento bajo la
autoridad del responsable o del encargado del tratamiento; el
Artículo 25. Registros de las actividades de tratamiento; el
Artículo 26. Registro de operaciones; el Artículo 27. Cooperación
con la autoridad de protección de datos; el Artículo 28.
![Page 4: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/4.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 4
Evaluación de impacto relativa a la protección de datos; y, el
Artículo 29. Consulta previa a la autoridad de protección de
datos.
La Sección 2.ª «Seguridad de los datos personales», que
engloba los artículos 30 a 32: Artículo 30. Seguridad del
tratamiento; Artículo 31. Notificación a la autoridad de
protección de datos de una violación de la seguridad de los datos
personales; y, Artículo 32. Comunicación de una violación de la
seguridad de los datos personales al interesado.
- La Sección 3.ª «Delegado de protección de datos» que se encuentra
integrada por los artículos 33 a 35: Artículo 33. Designación del
delegado de protección de datos; Artículo 34. Posición del delegado de
protección de datos; Artículo 35. Funciones del delegado de protección
de datos.
- El Capítulo V lleva por rúbrica «[t]ransferencias de datos personales a
terceros países que no sean miembros de la Unión Europea u
organizaciones internacionales» estando integrado por los siguientes
preceptos: Artículo 36. Principios generales de las transferencias de
datos personales; Artículo 37. Transferencias basadas en una decisión
de adecuación; Artículo 38. Transferencias mediante garantías
apropiadas; Artículo 39. Excepciones para situaciones específicas; y,
Artículo 40. Transferencias directas de datos personales a destinatarios
establecidos en países que no sean miembros de la Unión Europea.
- El Capítulo VI, rubricado «Autoridades de protección de datos» y que
comprende los artículos 41 a 44: Artículo 41. Autoridades de protección
de datos; Artículo 42. Funciones; Artículo 43. Potestades; Artículo 44.
Asistencia entre autoridades de protección de datos de los Estados
miembros.
- El Capítulo VII «Reclamaciones», integrado por los siguientes
preceptos: Artículo 45. Régimen aplicable a los procedimientos
tramitados por las autoridades de protección de datos; Artículo 46.
Derecho a indemnización por entes del sector público; y, Artículo 47.
Derecho a indemnización por encargados del tratamiento del sector
privado.
- Finalmente, el Capítulo VIII que se dedica al «[r]égimen sancionador»
abarcando los artículos 48 a 55: Artículo 48. Sujetos responsables;
Artículo 49. Normas de conflicto; Artículo 50. Infracciones muy graves;
Artículo 51. Infracciones graves; Artículo 52. Infracciones leves;
Artículo 53. Sanciones; Artículo 54. Prescripción de las infracciones y
sanciones; y, Artículo 55. Caducidad del procedimiento.
![Page 5: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/5.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 5
8.- En cuanto a las disposiciones adicionales del APLO, son las siguientes:
Disposición adicional primera. Acuerdos internacionales celebrados con
anterioridad en el ámbito de la cooperación judicial en materia penal y
de la cooperación policial.
Disposición adicional segunda. Ficheros y Registro de Población de las
Administraciones Públicas.
9.- Por último, cierran el texto remitido nueve disposiciones finales:
Disposición final primera. Naturaleza de la ley.
Disposición final segunda. Título competencial.
Disposición final tercera. Modificación de la Ley Orgánica 6/1985, de 1
de julio, del Poder Judicial.
Disposición final cuarta. Modificación de la Ley Orgánica 1/1979, de 26
de septiembre, General Penitenciaria.
Disposición final quinta. Modificación de la Ley Orgánica 4/2010, de 20
de mayo, del Régimen disciplinario del Cuerpo Nacional de Policía.
Disposición final sexta. Modificación de la Ley 5/2014, de 4 de abril, de
Seguridad Privada.
Disposición final séptima. Modificación de la Ley 19/2007, de 11 de
julio, contra la violencia, el racismo, la xenofobia y la intolerancia en
el deporte.
Disposición final octava. Incorporación del Derecho comunitario.
Disposición final novena. Entrada en vigor.
IV. CONSIDERACIONES GENERALES
10.- El Anteproyecto tiene como finalidad, esencialmente, la incorporación al
Ordenamiento español de la Directiva (UE) 2016/680 del Parlamento Europeo
y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales por parte de las
autoridades competentes para fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
y a la libre circulación de dichos datos y por la que se deroga la Decisión
Marco 2008/977/JAI del Consejo (la Directiva, en lo sucesivo).
11.- Esta finalidad se plasma en la disposición final octava de la norma
proyectada, resultando relevante a estos efectos que conforme al apartado 1
![Page 6: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/6.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 6
del artículo 63 de la Directiva, los Estados miembros adoptarán y publicarán
las disposiciones legales, reglamentarias y administrativas necesarias para
dar cumplimiento a lo dispuesto en la misma, a más tardar el 6 de mayo de
2018.
12.- Como se ha indicado, el proyecto remitido viene acompañado de la MAIN
del Anteproyecto que defiende la oportunidad de la propuesta tomando como
punto de partida, junto con la transposición de la Directiva (UE) 2016/680,
la necesidad de dar «respuesta a las crecientes amenazas para la seguridad
en el contexto nacional e internacional, que tienen, en numerosos casos, un
componente transfronterizo”, de manera que “la cooperación internacional y
la transmisión de información de carácter personal entre los servicios
policiales y judiciales de los países implicados, se convierte en un objetivo
ineludible».
13.- La Directiva constituye el instrumento normativo europeo a través del
cual se ha de articular la regulación de la protección de las personas físicas
en lo que respecta al tratamiento de los datos personales por parte de las
autoridades competentes, con fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
incluidas la protección y la prevención frente a las amenazas contra la
seguridad pública (artículo 1 de la Directiva).
14.- Resulta relevante para la adecuada comprensión e interpretación de la
Directiva 2016/680 el hecho, no casual, de que, en la misma fecha, el 27 de
abril de 2016, se aprobaron también:
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
(el Reglamento o RGPD en adelante), relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE (Directiva que vino a establecer las condiciones en las que
los Estados miembros habían de garantizar la protección del derecho
a la intimidad de las personas físicas, en lo que respecta al tratamiento
de los datos personales, buscando armonizar la regulación de los
Estados miembros al respecto), que es obligatorio en todos sus
elementos y directamente aplicable en cada Estado miembro a partir
del 25 de mayo de 2018 (artículo 99 del RGPD).
![Page 7: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/7.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 7
Y la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativa a la utilización de datos del registro
de nombres de los pasajeros (PNR) para la prevención, detección,
investigación y enjuiciamiento de los delitos de terrorismo y de la
delincuencia grave, cuyo plazo de transposición finalizaba el 25 de
mayo de 2018 (artículo 18 de la Directiva), debiendo destacar que el
Informe al Anteproyecto de Ley Orgánica sobre la utilización de los
datos del registro de nombres de pasajeros para la prevención,
detección, investigación y enjuiciamiento de delitos de terrorismo y
delitos graves fue aprobado por Acuerdo del Pleno del Consejo General
del Poder Judicial en su reunión del día 25 de abril de 2018.
15.- Estas tres normas, que se publicaron en el mismo Diario Oficial de la
Unión Europea, el 4 de mayo de 2016, forman un bloque normativo que ha
de tenerse presente a la hora de abordar el estudio del anteproyecto objeto
del presente informe sin perder de vista en ningún momento que todas ellas
tienen como fuente primigenia el artículo 8 de la Carta de Derechos
Fundamentales de la Unión Europea (CDFUE), donde se reconoce el derecho
fundamental a la protección de datos de carácter personal. Ahora bien,
mientras la disciplina general de ese derecho se lleva a cabo en el RGPD y,
por determinación expresa de este, se complementa con las disposiciones de
los Estados Miembros, la específica, es decir, la que versa sobre el PNR y la
relativa a la prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, se aborda a través
de las correspondientes Directivas. Ha de precisarse que esta opción
regulativa ni disminuye ni relativiza en lo más mínimo la apuntada necesidad
de comprensión e interpretación conjunta de las tres normas. Máxime si se
tienen en cuenta que las remisiones que se hacen entre sí y que todo ello ha
de entenderse a la luz de la jurisprudencia de los Tribunales de Estrasburgo
y Luxemburgo sobre el repetido derecho fundamental. Ahora bien, la
constatación de la estrecha relación entre las tres normas, que
indudablemente pertenecen a un mismo tronco común, tampoco debe
llevarnos a ignorar que cada una de ellas tiene su propia sustantividad y un
ámbito de regulación específico que obedece a la distinta base jurídica en la
que se fundamentan y al objetivo que persiguen. De otro modo, no se
justificaría que la regulación de la protección de datos se haya repartido en
tres normas diferentes y, además, de distinta naturaleza.
16.- Así, en virtud del artículo 16.2 del Tratado de Funcionamiento de la
Unión Europea (TFUE), la que hemos llamado disciplina general del derecho
![Page 8: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/8.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 8
fundamental se ha plasmado en un reglamento (RGPD), que es directamente
aplicable y obligatorio en todos sus elementos y no deja más margen de
configuración normativa a los Estados miembros que el que ofrecen sus
habilitaciones específicas. Sin embargo, las otras dos han adoptado la forma
de directivas, de conformidad con el artículo 82.2 TFUE en tanto que, aunque
participan de la base del citado artículo 16.2 TFUE, sus objetivos están
vinculados a la cooperación judicial en materia penal, en la que la
armonización europea no es tan intensa, lo que ofrece, en principio, una
mayor libertad de regulación a los Estados miembros, aunque todo depende
del grado de detalle de las mismas.
17.- Ese es el motivo por el que el RGPD y la Directiva (UE) 2016/680
delimitan dos ámbitos subjetivos de aplicación claramente diferenciados
(considerando 19 y artículo 1.2 d) RGPD) y la disposición transitoria cuarta
([t]ratamientos sometidos a la Directiva (UE) 2016/680) de Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales) prevé que «[l]os tratamientos sometidos a la Directiva
(UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes
para fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, y a la libre
circulación de dichos datos y por la que se deroga la Decisión Marco
2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica
15/1999, de 13 de diciembre, y en particular el artículo 22, y sus
disposiciones de desarrollo, en tanto no entre en vigor la norma que
trasponga al Derecho español lo dispuesto en la citada directiva.»
18.- Como es natural, la fuente normativa empleada y su grado de concreción
tienen especial importancia en cuanto a la determinación del nivel de
protección del derecho fundamental de que se trate, cuestión que
históricamente ha sido objeto de grandes debates y tensiones y sobre la que
el Tribunal de Justicia ha tenido dos importantes pronunciamientos. Estas son
las Sentencias de la Gran Sala (sentencia de 26 de febrero de 2013, C-
617/10, Akerberg Fransson, ECLI:EU:C:2013:105, y sentencia de 26 de
febrero, C-399/11, Melloni, ECLI:EU:C: 2013:107). La primera de ellas dice
que «en una situación en la que la acción de los Estados miembros no esté
totalmente determinada por el Derecho de la Unión, las autoridades y
tribunales nacionales siguen estando facultados para aplicar estándares
nacionales de protección de los derechos fundamentales, siempre que esa
![Page 9: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/9.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 9
aplicación no afecte al nivel de protección previsto por la Carta, según su
interpretación por el Tribunal de Justicia, ni a la primacía, la unidad y la
efectividad del Derecho de la Unión» (par. 29). De este modo, en una
situación en la que la acción del Estado miembro no esté totalmente
determinada por el Derecho de la Unión cabe aplicar el nivel de protección
más elevado garantizado por la norma constitucional nacional.
19.- Esta última es la situación en la que nos encontramos en el presente
caso. Se trata, por un lado, de la transposición de una Directiva que deja
libertad a los Estados para la elección de la forma y los medios de su
cumplimiento (art. 288.3 TFUE), pero, por otro, su considerando 15 afirma
que su propósito es «establecer normas armonizadas para la protección y la
libre circulación de los datos personales tratados con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, incluidas la protección y la prevención frente
a las amenazas para la seguridad pública» con el fin de «garantizar el mismo
nivel de protección de las personas físicas a través de derechos jurídicamente
exigibles en toda la Unión y evitar divergencias que dificulten el intercambio
de datos personales entre las autoridades competentes». Una advertencia
que apunta a una regulación pormenorizada. Sin embargo, más adelante
precisa que «no se debe impedir a los Estados miembros que ofrezcan
garantías mayores que las establecidas en la presente Directiva para la
protección de los derechos y libertades del interesado con respecto al
tratamiento de sus datos personales por parte de las autoridades
competentes».
20.- En relación con el contenido y alcance del derecho fundamental a la
protección de datos reconocido tanto en el artículo 8 de la Carta de Derechos
Fundamentales de la Unión Europea como en el artículo 18.4 de la
Constitución, nos remitimos a las consideraciones efectuadas en el informe
sobre anteproyecto de Ley Orgánica de protección de datos de carácter
personal, así como el informe complementario, aprobados respectivamente
por acuerdos del Pleno de 26 de julio y de 26 de octubre de 2017, y el informe
sobre el Anteproyecto de Ley Orgánica sobre la utilización de los datos del
registro de nombres de pasajeros para la prevención, detección, investigación
y enjuiciamiento de delitos de terrorismo y delitos graves, aprobado por el
Pleno de este órgano constitucional en fecha 25 de abril de 2018.
![Page 10: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/10.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 10
a) Carácter de la ley proyectada
21.- En virtud del principio de autonomía institucional (artículo 4.2 TUE), el
Derecho europeo no prejuzga el rango o carácter de la norma nacional que,
de acuerdo con el propio sistema de fuentes, se adopte para incorporar al
ordenamiento interno la norma europea que se transpone.
22.- La Disposición final primera del Anteproyecto, rubricada «[n]aturaleza
de la ley», atribuye a la misma el carácter de ley orgánica, señalando que,
no obstante, tienen carácter ordinario el Capítulo VI «[a]utoridades de
protección de datos» (artículos 41 a 44), el Capítulo VII «[r]eclamaciones»
(artículos 45 a 47) y el Capítulo VIII «[r]égimen sancionador» (artículos 48
a 55), ostentando la referida disposición final rango orgánico, como resulta
exigible.
23.- Constituye doctrina constitucional consolidada la interpretación estricta
del alcance de la reserva de ley orgánica respecto del desarrollo de los
derechos fundamentales, a fin de evitar petrificaciones del ordenamiento y
de preservar la regla de las mayorías parlamentarias no cualificadas (STC
173/1998, de 23 de julio, FJ 7). Ello es debido al juego de los artículos 53 y
81.1 CE, con arreglo al cual, la reserva de ley que contiene el primero («solo
por ley») para regular el ejercicio de los derechos del Capítulo II, lo es de ley
ordinaria. Sin embargo, conforme al segundo, se precisa ley orgánica en lo
que suponga desarrollo directo del precepto que reconozca el correspondiente
derecho fundamental si este es uno de los contenidos en la Sección Primera
de dicho Capitulo, tal y como sucede con los que reconoce el artículo 18.1 y
4 CE.
24.- Así, a la ley orgánica prevista en el artículo 81.1 CE corresponde el
«desarrollo directo» del derecho fundamental, esto es, «la regulación de
determinados aspectos esenciales para la definición del derecho, la previsión
de su ámbito y la fijación de sus límites en relación con otras libertades
constitucionalmente protegidas» (STC 132/1989, de 18 de julio, FJ 16)», en
tanto que a la ordinaria le atañe todo cuanto se refiere al ejercicio del
derecho.
25.- Esta diferenciación es el punto de partida que ha de tomarse para
determinar qué partes de la Directiva (UE) 2016/680 han de ser objeto de
transposición a través de cada uno de los tipos de ley señalados. No es, por
consiguiente, suficiente con afirmar, como hace la MAIN (pág. 15) que
![Page 11: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/11.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 11
«[r]especto al rango de la ley, habida cuenta de que se trata de una norma
que afecta al derecho a la intimidad personal consagrado como derecho
fundamental por el artículo 18.4 de la Constitución, la transposición exige la
aprobación de una ley con rango de orgánica, tal y como prevé el artículo
81.1 de nuestra Norma Fundamental». Resultaría preciso examinar con
cuidado cada uno de los elementos del derecho para determinar hasta dónde
ha de llegar el desarrollo directo y dónde debe comenzar la disciplina
normativa sobre su ejercicio. Siempre, además, desde una interpretación
estricta de la reserva de ley orgánica a fin de que, como se ha advertido, no
se produzca una congelación de rango que se traduzca en la petrificación del
ordenamiento jurídico merced a la mayoría absoluta que requiere su
aprobación y modificación. Pues bien, pese a la importancia de este deslinde,
lo cierto es que ni la MAIN ni la exposición de motivos del APLO ofrecen la
más mínima valoración de tan importante extremo ni explican cuáles de los
elementos esenciales del derecho de protección de datos, de su definición,
ámbito y límites, resultan directamente comprometidos en la transposición
de la Directiva (UE) 2016/680 y que, por tal motivo, deban regularse
mediante ley orgánica. Un análisis que, nuevamente, exige atender a los
apartados 1 y 4 del artículo 18 CE y la doctrina del Tribunal Constitucional
sobre ellos. Esta carencia, por más que se repita en muchas leyes, merece
nuestro reproche en la medida en que nos encontramos ante una materia
especialmente delicada.
b) Título competencial
26.- Conforme a la disposición final segunda del Anteproyecto, la ley orgánica
se dicta «al amparo de las reglas 1ª, 6ª y 29ª del artículo 149.1 de la
Constitución, que atribuyen al Estado las competencias exclusivas,
respectivamente, para la regulación de las condiciones básicas que garanticen
la igualdad de todos los españoles en el ejercicio de los derechos y en el
cumplimiento de los deberes constitucionales sobre legislación penal,
penitenciaria, procesal y en materia de seguridad pública».
27.- A juicio de este órgano constitucional son pertinentes los títulos
competenciales invocados por la disposición final primera del Anteproyecto,
tanto los artículos 149.1.6ª y 29ª CE, en atención a la materia regulada. No
sucede lo mismo con el artículo 149.1.1ª CE en aquello que esté dentro del
desarrollo directo del derecho fundamental, pues en el actúa la reserva de
ley orgánica que no constituye per se un título competencial (SSTC 137/1986
y 173/1998). Es decir, ese apartado solo juega en lo que suponga regulación
![Page 12: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/12.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 12
por ley ordinaria del ejercicio de aquél y entre en contacto con competencias
autonómicas.
V. CONSIDERACIONES PARTICULARES SOBRE EL CONTENIDO DEL
ANTEPROYECTO.
28.- El análisis del Anteproyecto incidirá sobre la regulación de los
tratamientos de datos llevados a cabo en el ámbito de los órganos
jurisdiccionales, así como del Ministerio Fiscal (apartado a) y la salvaguarda
del derecho fundamental de protección de datos desde la perspectiva del
cumplimiento de las exigencias del principio de reserva de ley (apartado b),
así como de la correcta transposición de la Directiva. También, desde la
perspectiva del principio de legalidad, se analizarán las previsiones en
materia sancionadora (apartado c) y se realizarán algunas consideraciones
de técnica legislativa (apartado d). Finalmente, se proponen algunos cambios
normativos en la regulación de los artículos 236 bis a 236 decies LOPJ con el
fin de actualizar su contenido (apartado e).
a) Tratamientos de datos personales efectuados en el ámbito de
aplicación de la Directiva por los órganos jurisdiccionales, así
como por el Ministerio Fiscal.
29.- A ellos se refieren los considerandos 20 y 80 de la Directiva. El primero
aclara que «La presente Directiva no impide que, en las normas nacionales
relativas a los procesos penales, los Estados miembros especifiquen
operaciones y procedimientos de tratamiento relativos al tratamiento de
datos personales por parte de tribunales y otras autoridades judiciales, en
particular en lo que respecta a los datos personales contenidos en
resoluciones judiciales o en registros relacionados con procesos penales.» El
segundo alude a «otras autoridades judiciales», mención que debe
entenderse referida al Ministerio Fiscal.
30.- La llamada al Derecho nacional cabe entroncarla con el principio de
autonomía procesal, establecido firmemente en la jurisprudencia del Tribunal
de Justicia (sentencias de 27 de octubre de 1971, Rheinmühlen, C- 166-73,
ECLI:EU:C:1974:3, par. 8; de 7 de enero de 2004, Delena Wells, C-201/02.
ECLI:EU:C:2004:12, par. 65, 67 y 70; de 25 de marzo de 2010, C-451/08,
Helmut Müller, ECLI:EU:C:2010:168, par. 62; entre otras muchas), en virtud
del cual los Estados miembros disponen de un amplio margen de maniobra
![Page 13: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/13.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 13
en el establecimiento de las condiciones procesales en que los tribunales
aplican el Derecho de la Unión (con los límites de los principios de
equivalencia y de efectividad).
31.- Son manifestaciones de lo dicho los derechos de información (art. 13),
acceso (art. 14) y de rectificación, supresión y limitación del tratamiento (art.
16 Directiva), que se ejercerán de conformidad con el Derecho del Estado
Miembro «cuando los datos personales figuren en una resolución judicial o en
un registro o expediente tramitado en el curso de investigaciones y procesos
penales».
32.- Por su lado, el artículo 32.1 de la Directiva autoriza a los Estados a
eximir de la obligación de designación de un delegado de protección de datos
«a los tribunales y demás autoridades judiciales independientes cuando
actúen en ejercicio de sus competencias judiciales».
33.- Finalmente, en el artículo 45.2 de la Directiva, en línea con el artículo
55.3 RGPD, admite que los órganos jurisdiccionales no se sometan a la misma
autoridad de control que los particulares y los demás poderes públicos y que
el control sobre los tratamientos que realicen en ejercicio de su función
jurisdiccional se asigne a otra autoridad independiente. En tal sentido, el
considerando 80 de la Directiva dice lo siguiente:
«Aunque la presente Directiva también se aplica a las actividades de
los órganos jurisdiccionales nacionales y otras autoridades judiciales,
la competencia de las autoridades de control no debe abarcar el
tratamiento de datos personales cuando los órganos jurisdiccionales
actúen en ejercicio de su función jurisdiccional, con el fin de garantizar
la independencia de los jueces en el desempeño de sus funciones. Esta
excepción debe limitarse a actividades judiciales en juicios y no debe
aplicarse a otras actividades en las que puedan estar implicados los
jueces, de conformidad con el Derecho del Estado miembro. Los
Estados miembros pueden disponer también que la competencia de la
autoridad de control no abarque el tratamiento de datos personales
realizado por otras autoridades judiciales independientes en el ejercicio
de su función jurisdiccional, por ejemplo, la fiscalía. En todo caso, el
cumplimiento de las normas de la presente Directiva por los órganos
jurisdiccionales y otras autoridades judiciales independientes debe
![Page 14: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/14.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 14
estar sujeto siempre a una supervisión independiente de conformidad
con el artículo 8, apartado 3, de la Carta.»
34.- Es decir, los órganos judiciales en el ejercicio de sus funciones
jurisdiccionales y las «autoridades judiciales independientes» pueden quedar
extramuros de la competencia de la autoridad (administrativa) de control,
pero no exentos de todo control. Por el contrario, el reconocimiento del
derecho de protección de datos como derecho fundamental de la Unión
Europea en el artículo 8 de la Carta integra como uno de sus elementos, la
garantía institucional de que el control del cumplimiento de las normas de
tratamiento de datos «estará sujeto al control de una autoridad
independiente».
35.- A partir del marco expuesto, el prelegislador ha optado por dar un
tratamiento normativo específico a la actividad de los órganos jurisdiccionales
(y del Ministerio Fiscal) que entra dentro del ámbito de aplicación de la
Directiva.
36.- En líneas generales, la opción contenida en el Anteproyecto consiste en
someter el tratamiento de datos personales con fines jurisdiccionales
efectuado por los órganos judiciales del orden penal a las previsiones
específicas en materia de protección de datos contenidas en la Ley Orgánica
del Poder Judicial y a las normas procesales (art. 2.5 y art. 19.2 APLO),
estableciendo la aplicación de la Ley Orgánica proyectada como supletoria en
lo relativo al ejercicio de los derechos regulados en el capítulo III del
Anteproyecto (art. 2.5 in fine y art. 19.3 APLO). En este punto se observa
una cierta discordancia con lo expresado en el párrafo tercero del apartado
IV de la Exposición de Motivos que se refiere, para estos tratamientos, a la
aplicación subsidiaria de «esta ley orgánica», debiendo precisarse que el
carácter supletorio se limita a su capítulo III.
37.- Por otro lado, se prevé que no será obligatoria la designación de
delegado de protección de datos cuando el tratamiento de datos personales
tenga fines jurisdiccionales (art. 33.1 APLO).
38.- El Anteproyecto se sitúa, de este modo, en línea con lo previsto en la
LOPDGDD cuyo artículo 2.4 dispone que «el tratamiento de datos llevado a
cabo con ocasión de la tramitación por los órganos judiciales de los procesos
de los que sean competentes, así como el realizado dentro de la gestión de
la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE)
![Page 15: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/15.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 15
2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la
Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables».
39.- La remisión preferente a la LOPJ, que en punto al ejercicio de los
derechos de protección de datos se remite a la leyes procesales (art. 236
octies.1 LOPJ), y la aplicación supletoria del RGPD y la LOPDGDD respecto de
los tratamientos de datos con fines jurisdiccionales, encuentra su punto de
anclaje en la cláusula de limitación de los derechos reconocidos en el RGPD
contenida en el artículo 23.1 RGPD que permite a los Estados limitar el
alcance de las obligaciones y los derechos en materia de protección de datos
cuando resulten necesaria para salvaguardar, entre otros fines, «la
protección de la independencia judicial y de los procedimientos judiciales»
(art. 21.1.f RGPD).
40.- La LOPDGDD y el Anteproyecto comparten el mismo planteamiento en
cuanto a la sujeción de los tratamientos con fines jurisdiccionales a la
respectiva normativa de protección de datos. Ambos textos parten de la
consideración, que debe valorarse positivamente, de que el lugar natural en
el que debe regularse el ejercicio de los derechos de información, acceso,
supresión, oposición y limitación al tratamiento son las respectivas leyes
rituarias que ordenan el proceso. Es la ley procesal la que está en mejor
situación para efectuar la ponderación entre los derechos a la protección de
datos y a la tutela judicial efectiva de las partes y establecer las relaciones
de prevalencia condicionada entre uno y otro en función de los intereses en
juego en cada tipo de trámite en el curso del procedimiento, cohonestando
los principios esenciales del proceso de contradicción, audiencia, igualdad de
armas e interdicción de la indefensión con las exigencias de la protección de
datos.
41.- A partir de las consideraciones anteriores, se estima acertada la
regulación contenida en el artículo 2.5 del APLO de acuerdo con el cual:
«Los tratamientos realizados por los órganos jurisdiccionales en el ámbito del
artículo 1 se regirán por lo dispuesto en la Ley Orgánica 6/1985, de 1 de julio,
del Poder Judicial, por las leyes procesales penales y, subsidiariamente, por
lo dispuesto en el capítulo III de esta ley orgánica».
42.- La ordenación de la normativa aplicable a los tratamientos con fines
jurisdiccionales efectuados por la jurisdicción penal (LOPJ, leyes procesales y
la futura ley orgánica de transposición de la Directiva) debería tener el debido
reflejo en el artículo 236 bis LOPJ, cuya redacción debe, por lo demás,
![Page 16: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/16.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 16
actualizarse de acuerdo con el vigente marco normativo de protección de
datos, a través de la correspondiente disposición final en el Anteproyecto.
43.- Con el fin de reflejar el específico marco normativo aplicable a la
jurisdicción penal, debería introducirse un segundo párrafo en el artículo 236
bis LOPJ coherente con lo previsto en el artículo 2.5 APLO. En este sentido,
su posible tenor podría ser el siguiente: «En el ámbito de la jurisdicción penal,
los tratamientos efectuados con fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales o de ejecución de sanciones penales
se regirán por lo dispuesto en el presente Capítulo y las leyes procesales y,
supletoriamente, por lo dispuesto en la Ley Orgánica de protección de datos
personales tratados para fines de prevención, detección, investigación o
enjuiciamiento de infracciones penales y de ejecución de sanciones penales,
así como de protección y prevención frente a las amenazas contra la
seguridad pública».
44.- El artículo 2.6 del APLO delimita el marco normativo que debe regir
los tratamientos de la fiscalía que caen dentro del ámbito de aplicación de la
Directiva, en los siguientes términos:
«Los tratamientos que se lleven a cabo por el Ministerio Fiscal en el
ámbito del artículo 1 se regirán por lo dispuesto en el apartado anterior
y por la Ley 50/1981, de 30 de diciembre, por la que se regula el
Estatuto Orgánico del Ministerio Fiscal.»
45.- De acuerdo con el precepto transcrito, la normativa aplicable a los
tratamientos de la fiscalía con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales
estaría integrada, por este orden, por la LOPJ, las leyes procesales penales,
lo previsto en el capítulo III de la Ley orgánica resultante del Anteproyecto
examinado, y, por otro lado, por lo dispuesto en el EOMF.
46.- En líneas generales, esta previsión del prelegislador es conforme con la
Directiva y está en línea con el planteamiento de la Fiscalía General del Estado
expresado en la Instrucción 2/2019, sobre la protección de datos en el ámbito
del Ministerio Fiscal: el responsable y el Delegado de Protección de Datos.
47.- En primer lugar, la Directiva permite que los Estados miembros prevean
una regulación específica para los tratamientos efectuados por las
«autoridades judiciales independientes», concepto con el que se pretende
![Page 17: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/17.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 17
abarcar la institución del Ministerio Fiscal, tal y como se ha expuesto más
arriba (considerandos 20, 49 y 80 de la Directiva).
48.- En segundo lugar, en la Instrucción se pone de manifiesto que la
actuación del Ministerio Fiscal «se desarrolla fundamentalmente en el
contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al
cumplimiento de su misión “de promover la acción de la justicia en defensa
de la legalidad, de los derechos de los ciudadanos y del interés público
tutelado por la ley, de oficio o a petición de los interesados, así como velar
por la independencia de los Tribunales, y procurar ante éstos la satisfacción
del interés social” (arts. 124 CE y 2 EOMF)». De este modo, la intervención
del Ministerio Fiscal en los procedimientos judiciales penales incoados, las
diligencias de investigación o la tramitación del procedimiento previsto en el
Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los
menores, se inscribirían en el ámbito de aplicación de la Directiva y darían
lugar a tratamientos de datos con fines jurisdiccionales o
cuasijurisdiccionales, tal y como se expone en la referida Instrucción.
49.- Ahora bien, debe advertirse que la remisión a la LOPJ como norma
reguladora de los tratamientos de datos con fines jurisdicciones llevados a
cabo por el Ministerio Fiscal en el ejercicio de sus funciones constitucionales
tiene como efecto situar este tipo de tratamientos bajo la competencia del
Consejo General del Poder Judicial como autoridad de control respecto de los
tratamientos con fines jurisdiccionales (art. 236 nonies.1 LOPJ).
50.- Ciertamente, el artículo 8.3 de la Carta exige, como uno de los
contenidos del derecho fundamental a la protección de datos, el sometimiento
de los tratamientos a una autoridad de control independiente. Por su parte,
el Tribunal de Justicia ha subrayado como elemento esencial de la efectividad
del derecho la garantía de la independencia de la autoridad de control
(sentencia de 9 de marzo de 2010 (Gran Sala), Comisión/Alemania, C-
518/07, EU:C:2010:125, par. 23; sentencia de 16 de octubre de 2012 (Gran
Sala), Comisión/Austria, C-614/10, EU:C:2012:631, par. 37; sentencia de 8
de abril de 2014 (Gran Sala), Comisión/Hungría, C-288712, EU:C:2014:237,
par. 48).
51.- La garantía de independencia, en la apreciación del Tribunal, debe
asegurar que la autoridad de control pueda ejercer sus funciones sin
influencia externas, de modo que se excluya toda orden o influencia externa
con independencia de la forma que revista, directa o indirecta, que pudiera
![Page 18: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/18.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 18
orientar sus decisiones y, en consecuencia, poner en peligro el cumplimiento
de la tarea que corresponde a dichas autoridades de establecer un justo
equilibrio entre la protección del derecho a la intimidad y la libre circulación
de datos personales (sentencia Comisión/Alemania, par. 30,
Comisión/Austria, par. 41 y 43, Comisión/Hungría, par. 51). Condición
necesaria de la garantía de independencia es la independencia funcional, esto
es que la autoridad de control no esté sujeta a instrucción alguna en el
ejercicio de sus funciones, pero no es condición suficiente. En efecto, según
el Tribunal de Justicia, la mera posibilidad de que las autoridades de tutela
del Estado puedan ejercer influencia política sobre las decisiones de las
autoridades de control es suficiente para obstaculizar el ejercicio
independiente de las funciones de éstas. En efecto, por un lado, podría darse
en tal caso una «obediencia anticipada» de las autoridades de control a la
vista de la práctica decisoria de la autoridad de tutela. Por otro, habida cuenta
del papel de guardianas del derecho a la intimidad que asumen las
autoridades de control, sus decisiones y, por tanto, ellas mismas, deben estar
por encima de toda sospecha de parcialidad (sentencia Comisión/Hungría p.
53). El RGPD ha incorporado tales exigencias de independencia de la
autoridad de control en la sección 1 del capítulo VI integrada por los artículos
51 a 54. En particular, el artículo 52.2 del RGPD dispone que «[e]l miembro
o los miembros de cada autoridad de control serán ajenos, en el desempeño
de sus funciones y en el ejercicio de sus poderes de conformidad con el
presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y
no solicitarán ni admitirán ninguna instrucción».
52.- No cabe duda de que el CGPJ como autoridad de control cumple los
estándares de independencia exigidos por la jurisprudencia del Tribunal de
Justicia. Desde este punto de vista, el control por parte de este órgano
constitucional del cumplimiento de la normativa de protección de datos en los
tratamientos con fines jurisdiccionales efectuados por el Ministerio Fiscal no
ofrece dudas desde la perspectiva del artículo 8.3 de la Carta.
53.- Sin embargo, debe ponerse de manifiesto que la Instrucción 2/2019 ha
señalado, respecto de la autoridad de control, que cuando el tratamiento se
ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra
sometido al control de la Agencia Española de Protección de Datos (AEPD),
mientras que «para el tratamiento realizado por el MF en cumplimiento de las
funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla
la posibilidad de creación de un organismo específico en el MF que asuma
esta función». En este sentido, parece conveniente que el prelegislador aclare
![Page 19: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/19.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 19
la opción deseada respecto de la autoridad de control de los tratamientos
realizados por el Ministerio Fiscal, opción que deberá respetar, en todo caso,
la garantía de independencia del órgano por imperativo del artículo 8.3 de la
Carta, en los términos establecidos por la jurisprudencia del Tribunal de
Justicia, y el RGPD, y mediante una norma con rango de ley orgánica.
Además, esa opción habría de ponderarse en el contexto de la anunciada
reformulación del proceso penal y de la posición del Ministerio Fiscal para
proporcionar a esta Institución una posición de independencia equiparable a
la de otros países europeos. Todo ello sin olvidar las consideraciones que al
respecto hizo el TJUE en su Sentencia de 27 de mayo de 2019, Fiscalía de
Lübeck, sobre los asuntos acumulados C-508/18 y otros.
54.- Se ha de destacar la ausencia de mención en la delimitación del ámbito
de aplicación del Anteproyecto a los tratamientos efectuados por el Tribunal
de Cuentas, al que corresponde el enjuiciamiento de la responsabilidad
contable en que incurran quienes tengan a su cargo el manejo de caudales o
efectos públicos, constituyendo el enjuiciamiento contable, jurisdicción propia
del Tribunal de Cuentas, necesaria e improrrogable, exclusiva y plena, que
se ejerce respecto de las cuentas que deban rendir quienes recauden,
intervengan, administren, custodien, manejen o utilicen bienes, caudales o
efectos públicos, conforme a lo dispuesto en la Ley Orgánica 2/1982, de 12
de mayo, del Tribunal de Cuentas y en la Ley 7/1988, de 5 de abril, de
Funcionamiento del Tribunal de Cuentas.
55.- El Capítulo III del APLO regula los derechos de las personas y se divide
en dos secciones, la primera dedicada al régimen general, integrada por los
artículos 13 a 18, y la segunda que contiene el régimen especial establecido
en el artículo 19, intitulado «Condiciones especiales de ejercicio de los
derechos de los interesados como consecuencia de investigaciones y procesos
penales».
56.- El apartado 2 del artículo 19 dispone que «Cuando los datos sean objeto
de un tratamiento con fines jurisdiccionales del que sea responsable un
órgano del orden jurisdiccional penal, el ejercicio de los derechos de
información, acceso, rectificación y supresión se realizará de conformidad con
lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas
procesales». La norma proyectada es plenamente coherente con lo previsto
en el artículo 236 octies.1 LOPJ y encuentra habilitación en el artículo 18 de
la Directiva.
![Page 20: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/20.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 20
57.- El apartado 1 del artículo 19, por su parte, prevé que «El ejercicio de
los derechos de información, acceso, rectificación y supresión a los que se
hace referencia en los artículos anteriores se llevará a cabo de conformidad
con las normas procesales penales cuando los datos personales figuren en
una resolución judicial, o en un registro, diligencias o expedientes tramitados
en el curso de investigaciones y procesos penales». No resulta fácilmente
identificables los supuestos de aplicación de esta regla diferenciados y
distinguibles de los casos de tratamientos con fines jurisdiccionales, tal y
como se definen en al artículo 236 ter.1 LOPJ, esto es, datos que se
encuentren incorporados a los procesos de que conozcan juzgados y
tribunales y su finalidad se relacione directamente con el ejercicio de la
potestad jurisdiccional.
58.- Un supuesto posible de aplicación sería el del ejercicio de acceso a una
resolución judicial dictada en un proceso penal concluido y archivado. En este
caso, la remisión a las «normas procesales penales» prevista en el artículo
19.1 APLO resultaría equívoca, pues el acceso a las resoluciones judiciales en
procesos conclusos está regulado, con carácter general, en los artículos 235,
235 bis y 266 LOPJ, desarrollados en los artículos 4 y 5 del Reglamento
1/2005, de los aspectos accesorios de las actuaciones judiciales, aprobado
por Acuerdo de 15 de septiembre de 2005, del Pleno del Consejo General del
Poder Judicial. Por ello, se considera más acertado que la remisión se realice
a las «normas procesales».
59.- El artículo 20 regula con carácter general la obligaciones del
responsable del tratamiento y dispone que éste «aplicará las medidas
técnicas y organizativas apropiadas para garantizar que el tratamiento se
lleve a cabo de acuerdo con esta ley orgánica y con lo previsto en la
legislación sectorial y en sus normas de desarrollo, así como, en los supuestos
previstos en el artículo 18 [sic, debe decir 19], en la Ley Orgánica 6/1985,
de 1 de julio, o en la legislación procesal que resulte de aplicación. Tales
medidas se revisarán y actualizarán cuando resulte necesario.»
60.- El precepto transcrito tiene, entre sus destinarios, a los órganos
jurisdiccionales y las oficinas judiciales del orden penal que, de acuerdo con
el artículo 236 sexies LOPJ, son los responsables del tratamiento de datos
con fines jurisdiccionales. Esta es la única norma del articulado del APLO que,
fuera de los artículos 2.5 y 19.2, tiene como destinatarios a los órganos
jurisdiccionales. Habida cuenta de que el APLO parte de que la Ley Orgánica
proyectada sólo será aplicable con carácter supletorio a los órganos
![Page 21: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/21.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 21
jurisdiccionales en el ámbito de aplicación del capítulo III de la Directiva, no
resulta coherente con este planteamiento que el artículo 20 contenga
obligaciones para juzgados y tribunales como responsables del tratamiento.
61.- En este sentido, parece oportuno que la obligación de aplicar las medidas
técnicas y organizativas apropiadas para garantizar que el tratamiento se
lleve a cabo de acuerdo con lo previsto en la LOPJ y las normas procesales se
introduzca directamente en el lugar que resulta apropiado, esto es, el artículo
236 sexies LOPJ.
62.- El artículo 41 del APLO regula las autoridades de control. No se
entiende bien el sentido de este precepto, ya que, por un lado, contiene
previsiones innecesarias sobre lo que ya establece la LOPDGDD, sin aportar
nada nuevo, y, por otra, omite la más importante, a los efectos de su
regulación, como es la mención al Consejo General del Poder Judicial como
autoridad de control sobre los tratamientos para fines jurisdiccionales. A
juicio de este Consejo, este artículo o bien debe suprimirse o, si se
mantuviera debería limitarse a decir que son autoridades de control las
previstas en la LOPDGDD y en la LOPJ. A ello podría añadir que este también,
es el competente para garantizar el derecho fundamental sobre los
tratamientos para fines jurisdiccionales del Ministerio Fiscal o, en su caso,
aludir al órgano específico que se cree al efecto, cuestión sobre la que ya se
ha expresado este informe.
63.- El artículo 46 del APLO regula el derecho a indemnización por entes
del sector público. En su apartado 3 se prevé que «Cuando se trate de ficheros
de una autoridad pública judicial, la responsabilidad se exigirá de acuerdo con
la legislación reguladora del régimen de responsabilidad previsto en la Ley
Orgánica 6/1985, de 1 de julio». La remisión debe entenderse efectuada al
régimen de responsabilidad patrimonial de la Administración de Justicia
previsto en los artículos 292 y siguientes de la LOPJ, donde se regula el
derecho de indemnización por funcionamiento anormal de la Administración
de Justicia y por error judicial.
64.- El centro de imputación del daño o lesión derivado del incumplimiento
de lo dispuesto en la ley orgánica se sitúa en «los ficheros de una autoridad
pública judicial». Por un lado, la referencia a ficheros debería sustituirse por
la de tratamientos, por ser el término omnicomprensivo empleado en la
normativa de protección de datos. Por otro lado, el concepto de autoridad
pública judicial resulta excesivamente genérico en la medida en que parece
incluir todos los supuestos de tratamientos efectuados por el Ministerio Fiscal
![Page 22: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/22.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 22
que entren en el ámbito de aplicación de la Directiva, dado que en la
economía de la norma de la Unión el término autoridad pública judicial incluye
a la Fiscalía.
65.- De acuerdo con la jurisprudencia, la desconexión de la actuación de la
Fiscalía con un concreto procedimiento judicial determina que nos
encontremos ante un supuesto ajeno a la responsabilidad patrimonial por
funcionamiento anormal de la Administración de Justicia. En este sentido,
cabe citar la Sentencia de la Sala de lo Contencioso-Administrativo de la
Audiencia Nacional de 24 de noviembre de 2009 (ECLI:ES:AN:2009:5291) en
la que se afirma:
«Tampoco puede encuadrarse en el ámbito de la responsabilidad
patrimonial por funcionamiento anormal de la Administración de
Justicia, la actuación del Ministerio Fiscal en la tramitación de las
diligencias preliminares nº 8/04, instruidas por la Sección de Menores
de la Fiscalía de la Audiencia Nacional, ya que, como hemos
manifestado anteriormente, el funcionamiento "anormal" de la
Administración de Justicia, sustrato de esta concreta modalidad de
responsabilidad patrimonial, ha de darse en el desarrollo de un
procedimiento judicial, y aunque el Ministerio Fiscal aparezca integrado
en el Poder Judicial con autonomía funcional, las diligencias de
investigación de la Fiscalía son independientes y aparecen sustraídas
al concreto conocimiento y al control directo de la Autoridad Judicial,
siendo previas al procedimiento judicial, de manera que dichas
diligencias no se judicializan por sí mismas, si no concluyen con el
efectivo ejercicio de la oportuna acción ante el órgano jurisdiccional.
En definitiva, por la misma razón que no puede llevarse al
funcionamiento anormal de la Administración de Justicia la
investigación seguida por las fuerzas de orden público plasmada
posteriormente en un atestado policial que integra el acto de iniciación
de las diligencias judiciales, no puede llevarse al funcionamiento de la
Administración de Justicia la investigación del Ministerio Fiscal previa a
las actuaciones judiciales, sin perjuicio, obviamente, de que la referida
actuación del Ministerio Fiscal pueda dar lugar a un supuesto de
responsabilidad patrimonial por el funcionamiento normal o anormal
de los servicios públicos.»
![Page 23: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/23.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 23
66.- De acuerdo con lo expuesto, el tratamiento con fines jurisdiccionales,
en el que se podrían incluir, por ejemplo, las diligencias de investigación
efectuadas por el Ministerio Fiscal, no sería coextenso con el concepto de
funcionamiento de la Administración de Justicia a los efectos del régimen de
responsabilidad patrimonial regulado en los artículos 292 y siguientes de la
LOPJ, del que tales diligencias previas de investigación quedarían excluidas.
67.- Por ello, a los efectos de que el enunciado del artículo 46.3 del APLO se
ajuste lo más posible al presupuesto aplicativo del régimen de
responsabilidad patrimonial previsto en la LOPJ se propone sustituir «ficheros
de una autoridad pública judicial» por «tratamientos en el ámbito de la
Administración de Justicia».
68.- En línea con lo señalado anteriormente, la referencia a «ficheros de una
autoridad pública administrativa» debería sustituirse por «tratamientos
llevados a cabo por una autoridad pública administrativa».
69.- Finalmente, una última cuestión que debe ser abordada en este apartado
dedicado a las previsiones contenidas en el APLO sobre los tratamientos de
datos efectuados por los órganos jurisdiccionales es la modificación de la LOPJ
contenida en la disposición final tercera. La referida disposición introduce
un nuevo apartado tercero en el artículo 236 octies con la siguiente redacción:
«3. Contra la denegación de las solicitudes de ejercicio de los derechos
de acceso, rectificación, limitación y supresión en relación con los datos
tratados con fines jurisdiccionales se podrá interponer directamente
recurso contencioso-administrativo ante el órgano jurisdiccional
competente de acuerdo con lo previsto en la Ley 29/1998, de 13 de
julio, reguladora de la Jurisdicción Contencioso-administrativa.»
70.- La modificación propuesta no merece una valoración positiva. En primer
lugar, desde el plano estrictamente formal, adolece de notables deficiencias
técnicas. Se prevé un remedio judicial frente a actuaciones de juzgados y
tribunales de cualquier orden jurisdiccional cuyo conocimiento se atribuye a
la jurisdicción contencioso-administrativa, que constituye un evidente novum
respecto del ámbito de la jurisdicción contencioso-administrativa delimitado
en el artículo 1 de la LJCA.
71.- Para ser eficaz la pretensión del prelegislador, desde el punto de vista
formal, insistimos, debería ir acompañada de: a) la inclusión de la denegación
![Page 24: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/24.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 24
de las solicitudes de ejercicio de los derechos de acceso, rectificación,
limitación y supresión en relación con los datos tratados con fines
jurisdiccionales en el apartado 3 del artículo 1 de la LJCA; b) la identificación
del acto susceptible de recurso; c) la determinación del o los órganos
competentes dentro del orden contencioso-administrativo, que, por razones
derivadas del principio de reserva de ley orgánica cualificada, debería tener
el correspondiente reflejo en la LOPJ; d) la regulación de las evidentes
especialidades de un procedimiento contencioso-administrativo dirigido
frente a una actuación de un órgano jurisdiccional.
72.- Nada de esto contiene el Anteproyecto, por lo que cabe considerar que
la modificación de la LOPJ en punto a introducir un procedimiento judicial de
tutela del derecho fundamental a la protección de datos respecto de los
tratamientos con fines jurisdiccionales no ha sido suficientemente meditada.
73.- Un análisis de fondo del texto proyecto revela las relevantes razones
que abogan por la no adopción de la propuesta.
74.- El artículo 236 octies.1 LOPJ establece que el ejercicio de los derechos
de acceso, rectificación, cancelación (rectius, supresión) y oposición (rectius,
limitación) respecto de los datos tratados con fines jurisdiccionales se
tramitarán conforme a las normas que resulten de aplicación al proceso en
que los datos fueron recabados, no siendo de aplicación las disposiciones
establecidas al efecto por la legislación vigente en materia de protección de
datos de carácter personal. De lo que se deduce que la norma parámetro que
deberá emplear el órgano de la jurisdicción contencioso-administrativa para
el control de la denegación de la solicitud del ejercicio del derecho se contiene
en las leyes procesales aplicables en los distintos órdenes jurisdiccionales, lo
cual dista mucho de la especialización del orden contencioso-administrativo
(art. 9.4 LOPJ).
75.- Se abren toda una serie de interrogantes sobre la articulación del
proyectado recurso contencioso-administrativo y el proceso judicial de base
en el que se produce la denegación del derecho: ¿debe esperarse a la
conclusión del proceso para recurrir o deberá suspenderse la tramitación de
este en tanto se resuelve el recurso contencioso? ¿Se tramitarán en paralelo
el proceso judicial y el recurso-contencioso? ¿Qué efectos producirá,
entonces, la sentencia dictada en éste sobre el proceso civil, penal o social?
¿Qué tratamiento deben tener las denegaciones de solicitudes de derechos
por órganos del orden contencioso-administrativo? El mecanismo
![Page 25: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/25.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 25
procedimental proyectado se presenta como una fuente de dificultades y
conflictos.
76.- El derecho a la protección de datos es un derecho fundamental, sin duda,
frente a cuyas lesiones el interesado tiene el derecho a obtener tutela judicial
(art. 8 en relación con el art. 47 de la Carta y art. 18.4 en relación con el art.
24 y 53.2 CE). Así lo dispone tanto el artículo 79 del RGPD como el artículo
54 de la Directiva.
77.- En el ámbito del tratamiento de datos con fines jurisdiccionales el
derecho a obtener una resolución judicial fundada en Derecho que se
pronuncie sobre la eventual lesión del derecho a la protección de datos
imputable a un órgano jurisdiccional debe satisfacerse dentro del propio
orden jurisdiccional, de acuerdo con los medios de impugnación que prevea
la ley procesal aplicable. Desde este punto de vista, dado el carácter
transversal e intersticial del derecho a la protección datos, el tratamiento que
debe tener el control judicial de las lesiones de este derecho acaecidas en el
ámbito jurisdiccional se asemeja al del derecho a la tutela judicial efectiva,
donde las infracciones procesales se depuran dentro del propio orden
jurisdiccional a través de los medios de impugnación correspondientes.
78.- Es el legislador procesal el que establece los correspondientes equilibrios
entre el derecho a la protección de datos y el derecho a la tutela judicial y es
al juez de la ley procesal al que corresponde interpretar y aplicar esos
equilibrios, atendiendo a las concretas circunstancias del caso que pueden
atribuir un mayor peso a uno u otro derecho y decantar la decisión judicial.
79.- Más allá de lo anterior, debe recordarse que los interesados pueden
dirigirse al Consejo General del Poder Judicial como autoridad de control
formulando reclamaciones (art. 77 RGPD, art. 52 Directiva), cuyas
resoluciones son susceptibles de control jurisdiccional ante la Sala Tercera
del Tribunal Supremo (art. 638.2 LOPJ).
80.- En razón de lo expuesto, se considera oportuna la supresión de la
disposición adicional tercera.
b) Cumplimiento del principio de reserva de ley y de la correcta
transposición de la Directiva.
![Page 26: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/26.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 26
81.- Desde este momento ha de ponerse de manifiesto que el Anteproyecto
remitido supone en gran medida una reproducción, a veces literal, de la
Directiva que se pretende transponer, llegando incluso a recoger, en el
artículo 38.1 del Anteproyecto, un mandato dirigido a «los Estados
miembros», en los mismos términos que la norma objeto de transposición.
82.- Esta transcripción es merecedora de objeción, pues la Directiva, si bien
recoge en algunos aspectos mandatos claros y precisos dirigidos a los Estados
miembros, en otros se caracteriza por emplear unos términos vagos y difusos
en una materia que, en cuanto afecta directa e intensamente a un derecho
fundamental muy vulnerable, requiere de una mayor dosis de precisión y
certeza. Por ese motivo, la transposición que afronta el Anteproyecto ha de
servir para definir y concretar esas previsiones carentes de un contenido
debidamente delimitado.
83.- Como importante parámetro de concreción a tener en cuenta por el
prelegislador ha de citarse la Sentencia del Pleno 76/2019, de 22 de mayo de
2019, dictada en el recurso de inconstitucionalidad 1405-2019, interpuesto
por el Defensor del Pueblo respecto del apartado primero del artículo 58 bis
de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general,
incorporado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de
datos personales y garantía de los derechos digitales, en tanto autorizaba a
los partidos políticos a recopilar datos personales relativos a las opiniones
políticas de las personas en el marco de sus actividades electorales,
(ECLI:ES:TC:2019:76), cuyo fundamentico jurídico 8 ha señalado que:
«[…] el alcance de nuestra doctrina sobre las garantías adecuadas, que
consiste en determinar si las garantías adecuadas frente al uso de la
informática deben contenerse en la propia ley que autoriza y regula
ese uso o pueden encontrarse también en otras fuentes normativas.
La cuestión solo puede tener una respuesta constitucional. La previsión
de las garantías adecuadas no puede deferirse a un momento posterior
a la regulación legal del tratamiento de datos personales de que se
trate. Las garantías adecuadas deben estar incorporadas a la propia
regulación legal del tratamiento, ya sea directamente o por remisión
expresa y perfectamente delimitada a fuentes externas que posean el
rango normativo adecuado. Solo ese entendimiento es compatible con
la doble exigencia que dimana del artículo 53.1 CE para el legislador
de los derechos fundamentales: la reserva de ley para la regulación del
ejercicio de los derechos fundamentales reconocidos en el capítulo
![Page 27: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/27.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 27
segundo del título primero de la Constitución y el respeto del contenido
esencial de dichos derechos fundamentales.
Según reiterada doctrina constitucional, la reserva de ley no se limita
a exigir que una ley que habilite la medida restrictiva de derechos
fundamentales, sino que también es preciso, conforme tanto a
exigencias denominadas –unas veces– de predeterminación normativa
y –otras– de calidad de la ley como al respeto al contenido esencial del
derecho, que en esa regulación el legislador, que viene obligado de
forma primaria a ponderar los derechos o intereses en pugna,
predetermine los supuestos, las condiciones y las garantías en que
procede la adopción de medidas restrictivas de derechos
fundamentales. Ese mandato de predeterminación respecto de
elementos esenciales, vinculados también en último término al juicio
de proporcionalidad de la limitación del derecho fundamental, no puede
quedar deferido a un ulterior desarrollo legal o reglamentario, ni
tampoco se puede dejar en manos de los propios particulares.»
84.- Además, ha de recordarse que, tal como se desprende el artículo 1.3 de
la Directiva, el contenido de la misma configura el mínimo exigible de garantía
del derecho fundamental a la protección de datos en relación con los
tratamientos sometidos a su ámbito de aplicación, pudiendo las normas de
transposición incorporar garantías adicionales, pero nunca mermar el
régimen de protección del derecho fundamental plasmado en la Directiva. Por
tanto, un nivel de protección más alto derivado de las exigencias del principio
de predeterminación normativa o calidad de la ley ex artículo 53.1 CE es
perfectamente aplicable y exigible en la transposición de la Directiva.
85.- Por ese motivo, ha de remarcarse nuevamente la necesidad de que la
transposición que afronta el Anteproyecto ha de servir para definir y concretar
las previsiones de la Directiva en tanto sean genéricas y carentes de un
contenido debidamente delimitado. Como se pone de manifiesto en el
considerando 33 de la Directiva, cuando la directiva hace referencia al
«Derecho de un Estado miembro, base jurídica o medida legislativa debe ser
clara y precisa y su aplicación previsible para quienes estén sujetos a la
misma, tal y como exige la jurisprudencia del Tribunal de Justicia y del
Tribunal Europeo de Derechos Humanos».
86.- En tanto la norma proyectada, según el artículo 1.1 del
Anteproyecto, persigue el objetivo de regular el ejercicio el derecho
![Page 28: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/28.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 28
fundamental (rectius, desarrollar el derecho fundamental pues ese es
concepto constitucional al que ligada la reserva de ley orgánica ex artículo
81.1 CE), reconocido por el artículo 18.4 de la Constitución, a la protección
de datos personales en relación a los tratamientos de datos llevados a cabo
por las autoridades competentes con fines de prevención, detección,
investigación o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, así como de protección y de prevención frente a las
amenazas contra la seguridad pública, estaríamos en presencia de un
objetivo de interés general de la Unión que puede justificar injerencias,
incluso graves, en los derechos fundamentales consagrados en los artículos
7 y 8 de la Carta, no pudiendo olvidar que la protección de la seguridad
pública contribuye también a la protección de los derechos y libertades de los
demás y que a este respecto, el artículo 6 CDFUE enuncia el derecho de toda
persona no sólo a la libertad, sino también a la seguridad (SSTJUE de 8 de
abril de 2014, Digital Rights Ireland y otros, C-293/12 y C-594/12,
EU:C:2014:238, apartados 42 y 44, y de 15 de febrero de 2016, N., C-601/15
PPU, EU:C:2016:84, apartado 53).
87.- Como señaló la Sentencia del Pleno del Tribunal Constitucional
199/2013, de 5 de diciembre (ECLI:ES:TC:2013:199):
«8. En cuanto a la exigencia de que la medida que supone una
injerencia en el derecho a la intimidad esté orientada a la consecución
de un fin constitucionalmente legítimo, con reiteración hemos afirmado
que lo es la investigación del delito y, en general, la determinación de
los hechos relevantes del proceso penal (SSTC 25/2005, de 14 de
febrero, FJ 6 y 206/2007, de 24 de septiembre, FJ 6), "pues la
persecución y castigo del delito constituye un bien digno de protección
constitucional, a través del cual se defienden otros como la paz social
y la seguridad ciudadana, bienes igualmente reconocidos en los arts.
10.1 y 104.1 CE" [SSTC 127/2000, de 16 de mayo, FJ 3 a); y
292/2000, de 30 de noviembre, FJ 9] y 73/2011, de 7 de noviembre,
FJ 2]».
88.- Conforme al apartado 2 del artículo 1 del texto remitido:
«2. El derecho fundamental que ostentan las personas físicas a la
protección de datos personales se ejercerá, en aquellas cuestiones que
le sean de aplicación, con arreglo a lo establecido en la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y
![Page 29: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/29.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 29
garantía de los derechos digitales, siempre que el resultado de dicha
aplicación no sea contrario a los fines del tratamiento a los que se
refiere el apartado anterior.»
89.- El precepto transcrito parece establecer una relación entre la LOPDGDD
y el presente anteproyecto sobre la base del principio de especialidad de
modo que la ley general (la LOPDGDD) será aplicable al ejercicio del derecho
fundamental consagrado en el artículo 18.4 CE («en aquellas cuestiones que
le sean de aplicación», inciso ciertamente indeterminado) siempre que la
aplicación de aquella Ley Orgánica no contravenga los fines del tratamiento
de prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, incluidas la protección y la
prevención frente a las amenazas contra la seguridad pública. El precepto
atribuye un amplísimo margen de apreciación al aplicador a quien
corresponde determinar si el resultado de la aplicación de la LOPDGDD es
contrario o no a tales fines.
90.- La articulación de ambas leyes orgánicas de desarrollo del derecho
fundamental reconocido en el artículo 18.4 CE, como ley general y ley
especial, en un primer análisis, podría considerarse que no se compadece con
el principio de separación que establece el artículo 2.2.d RGPD, que excluye
la aplicación del Reglamento a los datos personales tratados por las
autoridades competentes para fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
incluidas la protección y la prevención frente a las amenazas contra la
seguridad pública. Exclusión que ha sido recogida en el artículo 2.2.a de la
LOPDGDD. Ahora bien, en un análisis más detenido, cabe considerar que en
el marco de la transposición de la Directiva la norma nacional puede
establecer como supletoria la normativa interna de adaptación del RGPD, con
el límite de que esa aplicación supletoria no contradiga o desvirtúe lo
establecido en la Directiva.
91.- Por otra parte, desde la señalada perspectiva del Derecho interno y de
la jurisprudencia constitucional antes citada sobre el ámbito propio de la
reserva de ley orgánica, que ha de quedar circunscrito al desarrollo directo y
estricto del precepto constitucional que reconoce el correspondiente derecho
fundamental, el problema no es tanto que este admita un desdoblamiento
normativo en los términos que postula el Anteproyecto, sino que los límites
del mismo queden bien definidos. Que esto se haga en una, en dos o en más
leyes (ya ocurre como ahora veremos con la videovigilancia) no es relevante,
![Page 30: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/30.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 30
siempre que haya una justificación para ello y en este caso la hay, según
dijimos al comienzo de este informe debido a la naturaleza de los bienes
jurídicos que este confronta con el derecho fundamental a la protección de
datos. Lo que importa es que los mayores límites que se impongan queden
definidos de la manera más precisa posible por el legislador orgánico, cosa
que, insistimos, el Anteproyecto no hace, sino que lo confía al aplicador de la
norma.
92.- La confusión de planos entre el objeto propio de la reserva de ley
orgánica del artículo 81.1 CE y ordinaria del artículo 53.1 CE se aprecia en el
artículo 1.1 del Anteproyecto. Según dice, «[e]sta ley orgánica tiene por
objeto regular el derecho fundamental, reconocido por el artículo 18.4 de la
Constitución […]». Este enunciado no es correcto ya que lo que la iniciativa
examinada se propone es, por un lado, el desarrollo con rango de ley orgánica
del artículo 18.4 CE, pero solo con respecto a una determinada categoría de
tratamientos, y por otro, la regulación, a través de normas con rango de ley
ordinaria, de su ejercicio en ese mismo ámbito. Por consiguiente, este
Consejo considera que ha de reformularse debidamente.
93.- El artículo 2 APLO define su ámbito de aplicación, las exclusiones de
determinados tratamientos y las autoridades competentes a los efectos de la
ley orgánica.
94.- El apartado 2 del artículo 2 incluye en el ámbito de aplicación de la ley
«al tratamiento de los datos personales procedentes de las imágenes y
sonidos obtenidos mediante la utilización de cámaras y videocámaras por las
Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la
vigilancia y control en los centros penitenciarios, así como para el control,
regulación, vigilancia y disciplina del tráfico con los fines del artículo 1»,
declarando que fuera de estos supuestos dichos tratamientos se regirán por
su legislación específica y, supletoriamente, por el RGPD.
95.- Esta inclusión en el ámbito de aplicación del Anteproyecto guarda
conexión con el mandato recogido en el apartado 6 del artículo 22,
«[t]ratamientos con fines de videovigilancia», de la Ley Orgánica 3/2018,
conforme al cual (el subrayado es nuestro):
«6. El tratamiento de los datos personales procedentes de las
imágenes y sonidos obtenidos mediante la utilización de cámaras y
videocámaras por las Fuerzas y Cuerpos de Seguridad y por los
![Page 31: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/31.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 31
órganos competentes para la vigilancia y control en los centros
penitenciarios y para el control, regulación, vigilancia y disciplina del
tráfico, se regirá por la legislación de transposición de la Directiva (UE)
2016/680, cuando el tratamiento tenga fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, incluidas la protección y la prevención
frente a las amenazas contra la seguridad pública. Fuera de estos
supuestos, dicho tratamiento se regirá por su legislación específica y
supletoriamente por el Reglamento (UE) 2016/679 y la presente ley
orgánica.»
96.- La redacción del apartado 2 del artículo 2 del Anteproyecto debe
cohonestarse con el artículo 22.6 LOPDGDG en el sentido de incorporar como
norma supletoria junto al RGPD la LOPGDG. Más allá de esta observación
técnica, el precepto adolece de imprecisión en dos puntos relevantes.
97.- En primer lugar, no resulta clara la determinación del conjunto
normativo aplicable a la utilización por las Fuerzas y Cuerpos de Seguridad
de videocámaras para grabar imágenes y sonidos en lugares públicos,
abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar
la convivencia ciudadana, la erradicación de la violencia y la utilización
pacífica de las vías y espacios públicos, así como de prevenir la comisión de
delitos, faltas e infracciones relacionados con la seguridad pública. Este uso
de videocámaras por las Fuerzas y Cuerpos de Seguridad está actualmente
regulado por la Ley Orgánica 4 /1997, de 4 de agosto, por la que se regula
la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en
lugares públicos y el Real Decreto 596/1999, de 16 de abril, y la Agencia
Española de Protección de Datos ha venido sosteniendo que resulta
supletoriamente aplicable el RGPD, por lo que constituiría un tratamiento con
fines de videovigilancia que caería fuera del ámbito de la Directiva 2016/679.
El artículo 2.2 del Anteproyecto introduce confusión en este extremo y
debería el prelegislador introducir la precisión necesaria sobre este aspecto.
98.- En segundo lugar, respecto de la utilización de cámaras y videocámaras
para el control, regulación, vigilancia y disciplina de tráfico sucede otro tanto,
al producirse inseguridad jurídica sobre la normativa aplicable a este tipo de
videovigilancia. Debería establecerse algún criterio objetivo y accesible, más
allá de la referencia a los fines del tratamiento, que delimite claramente
cuando el uso de cámaras en el contexto del control y vigilancia del tráfico
queda sujeto a su normativa específica (Real Decreto Legislativo 6/2015, de
![Page 32: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/32.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 32
30 de octubre, por el que se aprueba el texto refundido de la Ley sobre
Tráfico, Circulación de Vehículos a Motor y Seguridad Vial) y supletoriamente
al RGPD y la LOPDGDG y cuando resultará de aplicación la Directiva 2016/680
y la ley orgánica de transposición.
99.- El artículo 2.3 del Anteproyecto declara que “[s]erá autoridad
competente, a los efectos de esta ley orgánica, toda autoridad pública que
tenga competencias encomendadas legalmente, para la consecución de los
fines del artículo 1», ajustándose a la definición recogida en el artículo 3.7.a)
de la Directiva. De esta forma, la definición de autoridad competente, a los
efectos del texto proyectado, se recoge en el artículo 2.3 APLO, advirtiéndose
por ello la improcedencia de la remisión, efectuada en el artículo 3 APLO, a
la definición de «autoridad competente», por remisión al RGPD que además
no incorpora en el listado de definiciones del artículo 4 la de «autoridad
competente».
100.- El apartado 3 del artículo 2 del Anteproyecto incluye como autoridades
competentes, en el ámbito de sus respectivas competencias a las Fuerzas y
Cuerpos de Seguridad, las Administraciones Penitenciarias, la Agencia Estatal
de Administración Tributaria, la Comisión de Prevención del Blanqueo de
Capitales e Infracciones Monetarias y la Comisión de Vigilancia de Actividades
de Financiación del Terrorismo. Al respecto cabe señalar que la inclusión
genérica de toda la Agencia Estatal de Administración Tributaria no parece
ajustarse a la definición de autoridad competente contenida en el artículo 3.7
de la Directiva, en atención a la amplitud de fines de la Agencia respecto de
los específicos contemplados en la norma europea. La inclusión solo tendría
sentido si se acotara debidamente y, si así se hiciera, habría que hacer los
mismo con las autoridades equivalentes de los territorios forales por virtud
de la Disposición Adicional Primera CE, el Estatuto de Autonomía para el País
Vasco y la Ley Orgánica de Reintegración y Amejoramiento de Régimen Foral
de Navarra.
101.- En el apartado 4 del artículo 2 APLO se sugiere aclarar la referencia
a «los tratamientos que se lleven a cabo por sujetos distintos de las
autoridades competentes y cuyo fin sea la protección y prevención frente a
las amenazas contra las infraestructuras críticas», a la luz de la Ley 8/2011,
de 28 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas y, especialmente, de la definición a efectos penales
de infraestructura crítica, como «elemento, sistema o parte de este que sea
esencial para el mantenimiento de funciones vitales de la sociedad, la salud,
![Page 33: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/33.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 33
la seguridad, la protección y el bienestar económico y social de la población
cuya perturbación o destrucción tendría un impacto significativo al no poder
mantener sus funciones», introducida en el artículo 264.2,4ª del Código Penal
por la L.O. 1/2015, de 30 de marzo, por la que se modifica la L.O. 10/1995,
de 23 de noviembre, del Código Penal, al abordar la transposición de la
Directiva 2013/40/UE, relativa a los ataques contra los sistemas de
información.
102.- El artículo 2, apartado 7, letra e) APLO excluye del ámbito de
aplicación de la ley orgánica los tratamientos de datos personales «relativos
a la lucha contra el terrorismo que afecten a la Seguridad Nacional, y los
relativos a las formas graves de delincuencia organizada dirigida a
desestabilizar gravemente el normal funcionamiento del Estado y de las
Instituciones», señalando que «[a] las actividades de tratamiento recogidas
en este apartado no les será de aplicación ni el Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ni la Ley
Orgánica 3/2018, de 5 de diciembre, sino que estarán sujetos a lo dispuesto
en la normativa sobre materias clasificadas y seguridad de la información»,
en tanto, como explica el Considerando 14 de la Directiva (y en términos
similares el Considerando 16 RGPD, en lo que atañe al Reglamento), «la
presente Directiva no debe aplicarse al tratamiento de datos personales en el
marco de una actividad que no esté comprendida en el ámbito de aplicación
del Derecho de la Unión, no deben considerarse comprendidas en el ámbito
de aplicación de la presente Directiva las actividades relacionadas con la
seguridad nacional […]”, si bien “[…] en estos supuestos el responsable del
fichero comunicará previamente su existencia y su finalidad a la Autoridad de
control».
103.- Por su parte, el párrafo cuarto del apartado IV de la Exposición de
Motivos señala que «Se excluyen expresamente del ámbito de aplicación
ciertos tratamientos, como […] los relativos a la lucha contra el terrorismo y
a las formas graves de delincuencia organizada dirigida a desestabilizar
gravemente el normal funcionamiento del Estado y de las instituciones, y los
sometidos a la normativa sobre materias clasificadas y sobre la Defensa
Nacional» (el subrayado es nuestro).
104.- Finalmente, la MAIN (página 17) señala al respecto que (el remarcado
es nuestro):
«[c]onviene advertir que se excluye del ámbito de aplicación de esta
ley orgánica algunos tratamientos. Es el caso de los tratamientos de
![Page 34: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/34.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 34
datos sometidos a la normativa sobre materias clasificadas, la Defensa
o la Seguridad Nacional, y comprende los relativos a la lucha contra el
terrorismo y a las formas graves de delincuencia organizada. Tampoco
serán aplicables en relación a esta materia, las disposiciones del
Reglamento de protección de datos, ni de la Ley Orgánica 3/2018, de
5 de diciembre como consecuencia del propio acervo de la Unión
Europea.
No obstante, a fin de evitar que dichos tratamientos queden huérfanos
de una regulación específica, se establece que estarán sujetos a lo
dispuesto en la normativa sobre materias clasificadas y seguridad de
la información. Asimismo, a fin de garantizar la actuación de las
autoridades competentes en materia de lucha contra el terrorismo y la
delincuencia organizada, se mantiene el sistema dispuesto en el
artículo 2.2c) de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal. En virtud del cual, es
obligatorio comunicar, previamente, a la autoridad de control, la
existencia de esos ficheros, sus características generales y su
finalidad.»
105.- De lo expuesto se desprende una cierta discordancia entre la
delimitación de los tratamientos excluidos, de donde deriva la conveniencia
de unificar las referencias recogidas en las diferentes partes del texto
proyectado y en la MAIN que lo acompaña.
106.- Resulta importante destacar que los delitos de terrorismo y la
delincuencia grave constituyen violaciones inadmisibles de los valores
universales de la dignidad humana, la libertad, la igualdad y la solidaridad, y
el disfrute de los derechos humanos y de las libertades fundamentales, en los
que se basa la Unión; atacando la democracia y el Estado de Derecho,
principios que son comunes a los Estados miembros y en los que se
fundamenta la Unión (Directiva (UE) 2017/541 del Parlamento Europeo y del
Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y
por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se
modifica la Decisión 2005/671/JAI del Consejo).
107.- Debe recordarse, asimismo, que el Considerando (25) de la Directiva
(UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de
2017, relativa a la lucha contra el terrorismo y por la que se sustituye la
Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión
2005/671/JAI del Consejo pone de manifiesto que «[p]ara reforzar el marco
![Page 35: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/35.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 35
existente sobre intercambio de información en la lucha contra el terrorismo
como establece la Decisión 2005/671/JAI, los Estados miembros deben
garantizar que la información pertinente obtenida por sus autoridades
competentes en el marco de procesos penales, por ejemplo, las autoridades
policiales, los fiscales o los jueces de instrucción, se ponga a disposición de
las autoridades competentes respectivas de otros Estados miembros para los
que se considere que dicha información podría ser pertinente. Como mínimo,
dicha información pertinente debe incluir, en su caso, la información que se
transmite a Europol o a Eurojust con arreglo a la Decisión 2005/671/JAI. Lo
anterior está supeditado a las normas de la Unión sobre protección de datos
establecidas en la Directiva (UE) 2016/680 del Parlamento Europeo y del
Consejo, y se entiende sin perjuicio de las normas de la UE sobre cooperación
entre autoridades competentes nacionales en el marco de los procesos
penales, como las establecidas en la Directiva 2014/41/UE del Parlamento
Europeo y del Consejo o la Decisión marco 2006/960/JAI».
108.- A diferencia de los delitos de terrorismo, respecto de los que se
entiende que existe una definición clara y precisa en los tipos recogidos en el
capítulo VII, del título XXII, del libro II del Código Penal, que fueron objeto
de una importante modificación a través de la Ley Orgánica 2/2015, de 30 de
marzo, por la que se modifica la Ley Orgánica 10/1995 en materia de
terrorismo, no ocurre lo mismo con el terrorismo «que afecte a la Seguridad
Nacional» ni con «las formas graves de delincuencia organizada dirigida a
desestabilizar gravemente el normal funcionamiento del Estado y de las
instituciones» a que se refiere el artículo 2.7.e) APLO por lo que ha de
recordarse la necesidad, reiterada por la jurisprudencia, de que en esta
materia las normas sean claras, precisas y limitadas estrictamente a lo
necesario. Es necesario, por lo tanto, que el Anteproyecto concrete
debidamente los tratamientos de datos personales que quedan fuera del
ámbito de aplicación de la Ley.
109.- La técnica empleada por el artículo 3 del Anteproyecto para
establecer las definiciones resulta incorrecta, pues o bien se incorporan
expresamente las definiciones contenidas en la Directiva 2016/680 o bien se
remite a lo establecido en esta norma europea. En el contexto de
transposición de esta Directiva, es erróneo remitir a las definiciones
contenidas en el RGPD, a pesar de la similitud de ambas normas en cuanto a
las definiciones.
![Page 36: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/36.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 36
110.- Abre el Capítulo II, «[p]rincipios», el artículo 4 APLO, que lleva por
rúbrica «[p]rincipios relativos al tratamiento de datos personales», viene a
reproducir lo dispuesto en el artículo 4 de la Directiva. En relación con el
apartado 4 del artículo 4 APLO que señala que «[e]l responsable del
tratamiento deberá garantizar el cumplimiento de lo establecido en este
artículo», ha de entenderse que la incorporación al Derecho español de la
previsión establecida en el artículo 4.4 de la Directiva no se ha efectuado con
la amplitud exigida por la norma que se transpone toda vez que ésta exige al
responsable del tratamiento ser «capaz de demostrar el cumplimiento» de lo
dispuesto en el referido precepto
111.- El artículo 5 APLO, sin equivalente en la Directiva, se refiere a la
«[c]olaboración con las autoridades competentes», debiendo destacar que el
apartado 3 excluye del deber de colaboración a que se refieren los apartados
1 y 2 del precepto comentado, aquellos supuestos en los que resulte exigible
autorización judicial para recabar los datos, por tanto, con carácter general,
todos aquellos supuestos en los que resulten afectados derechos
fundamentales, respecto de los que la Constitución dispone una reserva de
autorización judicial de la injerencia bien expresamente (y con carácter
absoluto, ex arts. 18.2. y .3 CE) bien implícitamente (y con carácter relativo,
ex art. 18.1 CE, en los términos expuestos por las SSTC 37/1989 y 207/1996,
y desde entonces doctrina constante).
112.- Ha de ponerse de manifiesto que la referencia a la exigencia de
autorización judicial, atendida la redacción del apartado 2 del artículo 5,
resulta inadecuada toda vez que parece aplicarse únicamente a las
Administraciones públicas y no a «cualquier persona física o jurídica» Por lo
demás, puede plantearse si habría de entenderse incluida en lo dispuesto en
el apartado 3 del mismo precepto, al disponer con carácter general que «[n]o
será de aplicación lo dispuesto en los apartados anteriores cuando,
legalmente, sea exigible la autorización judicial para recabar los datos
necesarios a los fines del artículo 1».
113.- Debe hacerse notar, igualmente, la diferencia si la afectación de los
derechos reconocidos en el artículo 18.1 de la Constitución viene referida a
personas físicas o jurídicas, públicas o privadas, debiendo recordar que de
conformidad con los numerosos pronunciamientos del Tribunal Constitucional
al respecto, como los recogidos en las sentencias 64/1988, de 12 de abril;
197/1988, de 24 de octubre; 91/1995, de 19 de junio o 175/2001, de 26 de
julio, las personas jurídico-públicas no son titulares de derechos
![Page 37: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/37.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 37
fundamentales (salvo, las específicos supuestos del derecho a la tutela
judicial efectiva contemplados en la doctrina constitucional, SSTC 175/2001,
de 26 de julio, y 63/2011, de 16 de mayo).
114.- Por lo que respecta a la exigencia de que “[l]a petición de la autoridad
competente deberá ser concreta y específica y contener la motivación que
acredite su relación con los indicados supuestos”, a que se refiere el artículo
5.2 APLO, debe entenderse vinculada a la necesidad de que se trate de datos
que estén especificados, en tanto conocidos por la requerida como
consecuencia del ejercicio de su actividad, e individualizados, de manera que
el requerimiento contenga de forma precisa la obligación de suministrar cierta
y concreta información, de manera análoga a lo exigido por la Jurisprudencia
de la Sala Tercera del Tribunal Supremo en relación con los requerimientos
individualizados de la Administración Tributaria (información por captación)
derivados de lo dispuesto en el artículo 93 de la Ley 58/2003, de 17 de
diciembre, General Tributaria y en el artículo 30 del RD 1065/2007, de 27 de
julio, por el que se aprueba el Reglamento General de las actuaciones y los
procedimientos de gestión e inspección tributaria y de desarrollo de las
normas comunes de los procedimientos de aplicación de los tributos. Por
todas, STS 1810/2015, de 22 de abril (ECLI:ES:TS:2015:1810).
115.- Por tanto, la obligación de proporcionar a las autoridades competentes
que los soliciten, los datos, informes, antecedentes y justificantes, a que se
refieren los apartados 1 y 2 del artículo 5.2 APLO no puede conllevar la
atribución de facultades ilimitadas a las referidas autoridades competentes,
debiendo introducirse al efecto en la norma proyectada de parámetros que
permitan comprobar que se trata de un acceso individualizado y
suficientemente motivado, siempre dentro del ámbito competencial de la
autoridad competente de que se trate, por ejemplo en términos similares a
los establecidos en la Sentencia del Tribunal Constitucional 110/1984, de 26
de noviembre (ECLI:ES:TC:1984:110).
116.- La dicción del apartado 3 del artículo 5 del Anteproyecto, al
establecer que no será de aplicación lo dispuesto en los apartados anteriores,
aparentemente permitiría comunicaciones masivas de datos o de
interconexiones o volcados de ficheros si se cuenta con autorización judicial.
Debe recordarse que toda injerencia o restricción de un derecho fundamental,
aún judicialmente autorizada, debe respetar el principio de proporcionalidad,
esto es, debe ser idónea, necesaria y proporcionada en relación con un fin
constitucionalmente legítimo. Como ha puesto de manifiesto el Tribunal
Constitucional en relación con una orden judicial que reclamaba el listado de
![Page 38: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/38.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 38
todos los clientes de una entidad financiera que hubieran contratado
determinados productos financieros, una medida restrictiva del derecho a la
protección de datos como esta «ha de adoptarse mediante resolución
especialmente motivada, exteriorizando los elementos de juicio en los que se
basa la resolución, de forma que las razones fácticas y jurídicas queden
perfectamente expuestas y, además, debe someterse a un estricto juicio de
proporcionalidad» (STC 96/2012, de 7 de mayo, FJ 11). Por ello, es
conveniente introducir en el artículo 5.3 del Anteproyecto una expresa
referencia al principio de proporcionalidad como límite que deberá respetar
la autorización judicial.
117.- Dado que el artículo 5.5 APLO prevé que, a fin de garantizar la
actividad investigadora, los sujetos a los que el ordenamiento jurídico
imponga un específico deber de colaboración con las autoridades
competentes para el cumplimiento de los fines establecidos en el artículo 1
no informarán al interesado de la transmisión de sus datos a dichas
autoridades, podría valorarse que el incumplimiento de esta obligación
tuviera el debido reflejo en el Capítulo VIII del Anteproyecto dedicado al
régimen sancionador.
118.- El artículo 6 del Anteproyecto se refiere a los «[p]lazos de
conservación y revisión» con la siguiente redacción:
«1. El responsable del tratamiento determinará que la conservación de
los datos personales tenga lugar sólo durante el tiempo necesario para
cumplir con los fines previstos en el artículo 1.
2. Excepcionalmente, cumplidos los plazos a los que se refiere el
apartado anterior, el responsable del tratamiento podrá acordar
motivadamente la necesidad de conservar los datos por más tiempo.
De no adoptarse decisión expresa al respecto, los datos serán
suprimidos o, en su caso, bloqueados.
El responsable del tratamiento deberá revisar la necesidad de
conservar, limitar o suprimir el conjunto de los datos personales
contenidos en cada fichero de actividades bajo su responsabilidad, si
es posible, mediante el tratamiento automatizado apropiado, como
máximo cada cinco años.»
119.- Ha de ponerse de manifiesto que el precepto proyectado, con la única
excepción de la determinación del plazo máximo de revisión periódica -de
cinco años-, no da cumplimiento al mandato establecido en el artículo 5 de la
![Page 39: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/39.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 39
Directiva, que obliga a fijar plazos apropiados para la supresión de los datos
personales, sin que la referencia al tiempo necesario para cumplir los fines
previstos en el artículo 1, cuya interpretación descansa en el aplicador de la
norma, pueda resultar equivalente a la fijación de plazo alguno, recogiendo
el texto proyectado, nuevamente, previsiones que no respetan el principio de
reserva de ley al no concretar, en este caso, los plazos de conservación fuera
de los cuales el tratamiento de los datos estaría prohibido.
120.- La determinación de estos plazos resulta asimismo relevante al
recogerse como infracción grave «[e]l incumplimiento de los plazos de
conservación exigibles en virtud del artículo 6» en el artículo 51.a) APLO y
como infracción leve «[e]l incumplimiento de los plazos de revisión exigibles
en virtud del artículo 6» en el artículo 52.c) APLO.
121.- El artículo 6 debería precisar los plazos apropiados de conservación y
establecer las garantías adecuadas para las normas de procedimiento
garanticen el cumplimiento de dichos plazos, tal y como exige el artículo 5 de
la Directiva.
122.- Aun cuando nada disponga al respecto la Directiva, podría valorarse la
inclusión en el Anteproyecto de alguna previsión relativa a que el
almacenamiento, tratamiento y análisis de los datos se lleve a cabo en
lugares seguros dentro del territorio nacional, de manera similar a lo
establecido en el artículo 6.8 de la Directiva (UE) 2016/681 relativa a la
utilización de datos del registro de nombres de los pasajeros (PNR) para la
prevención, detección, investigación y enjuiciamiento de los delitos de
terrorismo y de la delincuencia grave. Esta previsión resultaría coherente con
lo afirmado por el TJUE en el caso Digital Rights Ireland ya que el
almacenamiento seguro de los datos es un requisito para considerar legítima
su conservación, debiendo interpretar que este concepto comprende las
actividades relacionadas con los servicios de computación en nube, que
abarcan toda una serie de actividades que pueden realizarse según diferentes
modelos e incluyen recursos tales como las redes, servidores u otras
infraestructuras, sistemas de almacenamiento, aplicaciones, etc., que el
proveedor de servicios en nube podría asignar, en principio, con
independencia de la localización geográfica de los recursos de computación
en nube.
123.- El Artículo 7 regula la distinción entre diferentes categorías de
interesados Distinción entre categorías de interesados (personas
![Page 40: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/40.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 40
sospechosas, personas condenadas, víctimas y terceros). En la transposición
del artículo 6 de la Directiva cabe observar el Anteproyecto va más allá de lo
permitido por el precepto del Derecho de la Unión. En efecto, en la Directiva
las distintas categorías de interesados se vinculan exclusivamente con
infracciones penales, sin que se extienda, como hace el APLO, a las
infracciones relativa a la protección y prevención frente a las amenazas contra
la seguridad pública. En este punto, debe recordarse que, como expone el
considerando 13 de la Directiva, «una infracción penal en el sentido de lo
dispuesto en la presente Directiva debe ser un concepto autónomo del
Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la
Unión Europea». El prelegislador ha optado por una interpretación extensiva
de infracción penal incluyendo también infracciones administrativas respecto
de la que no se identifica en la MAIN o la exposición de motivos la
jurisprudencia del Tribunal de Justicia que la avala. Cabe poner en duda, por
el contrario, tal extensión a la vista de la sentencia de 6 de mayo de 2014
(Gran Sala), Comisión Europea contra Parlamento Europeo y Consejo de la
Unión Europea, C-43/12, ECLI:EU:C:2014:298, en la que el Tribunal
estableció que las infracciones de tráfico en materia de seguridad no pueden
considerarse infracciones penales a los efectos de intercambio transfronterizo
de información entre policías. Por otro lado, en la categoría de interesados
descrita en la letra a del artículo 7 («personas respecto de las cuales existan
motivos fundados para presumir que hayan cometido o puedan cometer una
infracción penal […]») debe tenerse en cuenta la dimensión extraprocesal de
la presunción de inocencia (SSTC 244/2007, de 10 de diciembre, y 133/2018,
de 13 de diciembre)
124.- El apartado 2 del artículo 8 del Anteproyecto, que se corresponde
con el contenido del artículo 7 de la Directiva se limita a disponer que:
«Las autoridades competentes adoptarán todas las medidas razonables
para garantizar que los datos personales que sean inexactos,
incompletos o estén desactualizados no se transmitan ni se pongan a
disposición de terceros sin trasladar al mismo tiempo la valoración de
su calidad, exactitud y actualización.»
125.- Señala el Considerando 32 de la Directiva que «[l]as autoridades
competentes deben velar por que los datos personales que sean inexactos,
incompletos o que no estén actualizados no se transmitan ni estén
disponibles. Con el fin de garantizar tanto la protección de las personas físicas
como la exactitud, integridad, actualidad y fiabilidad de los datos personales
![Page 41: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/41.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 41
que se transmitan o se pongan a disposición de terceros, las autoridades
competentes deben, en la medida de lo posible, añadir la información
necesaria a todos los datos personales que transmitan.»
126.- La Directiva en el artículo 7.2 establece un mandato de no transmitir
o poner a disposición de terceros datos inexactos, incompletos o que no estén
actualizados. En cambio, el Anteproyecto parte de una regla opuesta: permite
la transmisión o puesta a disposición sujeta a la carga de trasladar al
destinatario la valoración sobre la calidad, exactitud y actualización, por lo
que debe subrayarse que el prelegislador, en este punto, se sitúa fuera de lo
permitido por la norma de Derecho de la Unión.
127.- Por otro lado, la referencia, genérica y abierta, a la adopción por parte
de las autoridades competentes de «todas las medidas razonables» no estaría
dotada de la necesaria claridad y precisión al no recoger, ni siquiera
indicativamente, unos parámetros de lo que debe entenderse como
integrador del canon de razonabilidad al que alude.
128.- El artículo 9 APLO lleva por rúbrica «[l]icitud del tratamiento»,
correspondiéndose con el artículo 8 de la Directiva, afirmando que «[e]l
tratamiento sólo será lícito en la medida en que sea necesario para los fines
señalados en el artículo 1 y se realice por una autoridad competente en
ejercicio de sus funciones.»
129.- Recordemos que, de conformidad con el artículo 1.1 APLO, ese
tratamiento únicamente será legítimo cuando se realice con la finalidad de
prevención, detección, investigación o enjuiciamiento de infracciones penales
o de ejecución de sanciones penales, así como de protección y de prevención
frente a las amenazas contra la seguridad pública.
130.- Debe señalarse que el artículo 8 de la Directiva establece un triple
principio de la licitud del tratamiento: principio de necesidad (necesario para
los fines de prevención, investigación, enjuiciamiento, etc.), principio de
competencia (sólo deberá realizarse por las autoridades competentes) y
principio de legalidad («está basado en el Derecho de la Unión o del Estado
miembro). Este último principio no está explícitamente incorporado al artículo
9 del Anteproyecto. Cabría entender que la referencia el «ejercicio de sus
funciones» remite a la norma legal que atribuya y discipline el ejercicio de las
potestades de las correspondientes autoridades competentes, de modo que
nos encontraríamos ante una habilitación genérica que precisaría, en todo
![Page 42: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/42.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 42
caso, de una habilitación legal específica para la licitud del tratamiento (en
este sentido, puede verse el criterio establecido en la STC 96/2012, de 7 de
mayo, FJ 8).
131.- En todo caso, desde el punto de vista de la seguridad jurídica, es
necesario explicitar el requisito de previa habilitación legal. En este sentido,
el principio de legalidad como condición de la licitud del tratamiento se
contiene en las normas de transposición de nuestro entorno jurídico, como el
caso de Italia (art. 5 del Decreto Legislativo n. 51, 18 maggio 2018: «e si
basa sul diritto dell’Unione europea o su disposizioni di legge o, nei casi
previsti dalla legge, di regolamento che individuano i dati personali e le
finalità del trattamento»), Portugal (Art. 5 de la Lei 59/2019, de 8 de agosto:
«O tratamento de dados pessoais só é lícito se estiver previsto na lei e na
medida em que for necessário para o exercício de uma atribuição da
autoridade competente»), o Francia (art. 88 de la Loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés: «Le traitement de
données mentionnées au I de l'article 6 est possible uniquement en cas de
nécessité absolue, sous réserve de garanties appropriées pour les droits et
libertés de la personne concernée, et soit s'il est autorisé par une disposition
législative ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une
personne physique, soit s'il porte sur des données manifestement rendues
publiques par la personne concernée.»
132.- El artículo 11 del Proyecto se refiere al «[t]ratamiento de categorías
especiales de datos personales», conocidos como datos sensibles, que se
encuentran estrechamente vinculados con el derecho a la no discriminación,
refiriéndose a ellos el Considerando 37 de la Directiva, en los siguientes
términos:
«Especial protección merecen los datos personales que, por su
naturaleza, son particularmente sensibles en relación con los derechos
y las libertades fundamentales, ya que el contexto de su tratamiento
puede generar riesgos importantes para los derechos y las libertades
fundamentales. Dichos datos personales deben incluir aquellos que
pongan de manifiesto el origen racial o étnico, entendiéndose que el
término «origen racial» empleado en la presente Directiva no implica
la aceptación por parte de la Unión Europea de teorías que traten de
determinar la existencia de razas humanas diferentes. Tales datos
personales no deben ser objeto de tratamiento, salvo que el
tratamiento esté supeditado a las garantías adecuadas de protección
de los derechos y libertades del interesado que se establecen en la
![Page 43: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/43.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 43
legislación y esté permitido en los casos autorizados por la ley; o, si no
está ya autorizado por dicha legislación, que el tratamiento sea
necesario para proteger los intereses vitales del interesado o de otra
persona, o que el tratamiento se refiera a datos que el interesado ya
ha hecho públicos de forma manifiesta. Entre las garantías adecuadas
de protección de los derechos y libertades del interesado pueden
figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente
en relación con otros datos de la persona física afectada, la posibilidad
de proteger adecuadamente los datos recopilados, el establecimiento
de normas más estrictas para el acceso a los datos por parte del
personal de la autoridad competente, o la prohibición de transmisión
de dichos datos. El tratamiento de este tipo de datos también debe
estar jurídicamente permitido si el interesado ha acordado de forma
explícita que el tratamiento de los datos resulte especialmente
intrusivo para las personas. Sin embargo, el consentimiento del
interesado no debe constituir en sí mismo un fundamento jurídico para
que las autoridades competentes procedan al tratamiento de datos
personales sensibles como los mencionados.»
133.- Conforme al artículo 11 del Anteproyecto (el subrayado es nuestro):
«1. El tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas o
la afiliación sindical, así como el tratamiento de datos genéticos o
biométricos dirigidos a identificar de manera unívoca a una persona
física, los datos relativos a la salud o a la vida sexual o a la orientación
sexual de una persona física se permitirá cuando sea, estrictamente,
necesario, con sujeción a las garantías adecuadas para los derechos y
libertades del interesado y cuando se cumplan alguna de las siguientes
circunstancias:
a) Se encuentre previsto en una norma con rango de ley o en una
norma del Derecho de la Unión Europea.
b) Resulte necesario para proteger los derechos y libertades
fundamentales del interesado o de otra persona física.
c) Dicho tratamiento se refiera a datos que el interesado haya hecho
manifiestamente públicos.
2. Los datos de los menores de edad se tratarán garantizando el interés
superior de los mismos y con el nivel de seguridad adecuado»
![Page 44: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/44.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 44
134.- La inclusión en el citado precepto de parámetros tan abiertos y
carentes de concreción y correcta definición determina, a nuestro juicio,
nuevamente, que el artículo 11 APLO suponga una vulneración del principio
de reserva de ley en su vertiente de calidad de la ley, al no recoger los
aspectos esenciales de la necesaria concreción de los conceptos y parámetros
que legitiman el tratamiento de categorías especiales de datos personales,
los conocidos como datos especialmente sensibles.
135.- En este sentido, sería deseable que el APLO especificara «las garantías
adecuadas para los derechos y libertades del interesado», al modo como lo
ha hecho en Alemania la Bundesdatenschutzgesetz, de 30 de junio de 2017,
cuyo artículo 48, integrado en la parte III relativa a la transposición de la
Directiva (EU) 2016/680, establece un catálogo de garantías adecuadas En
el contexto del tratamiento de las categorías especiales de datos, a saber:
«1. requisitos específicos de seguridad de datos o monitoreo de protección
de datos; 2. límites de tiempo especiales dentro de los cuales deber revisarse
la pertinencia y la supresión de; 3. medidas para aumentar la conciencia del
personal involucrado en las operaciones de tratamiento; 4. restricciones en
el acceso a datos personales; 5. tratamiento separado de dichos datos; 6. la
seudonimización de datos personales; 7. el cifrado de datos personales; o 8.
códigos de conducta específicos para garantizar el procesamiento legal en
caso de transferencia o tratamiento para otros fines». Esta necesidad de
concreción se manifiesta, igualmente, en relación con los tipos infractores
recogidos en los apartados f) y l) del artículo 50 del texto proyectado en tanto
remiten, respectivamente, a «las circunstancias» y «casos» previstos en el
artículo 11.
136.- En relación con lo expuesto, la disposición final cuarta del APLO
introduce un nuevo artículo 15 bis en la Ley Orgánica 1/1979, de 26 de
septiembre, General Penitenciaria, en el que se regula el tratamiento de datos
de carácter personal de los reclusos. Tal previsión viene a cubrir una carencia
en la Ley penitenciaria y, en particular, da cobertura al tratamiento de
categorías especiales de datos, regulado en el apartado 2 del nuevo artículo
15 bis. Es doctrina constitucional asentada que, de acuerdo con el artículo
25.2 CE, cuando de la limitación de un derecho fundamental de un preso se
trata y su ejercicio no se encuentra restringido expresa o implícitamente en
el fallo condenatorio que condujo a la prisión tal limitación se prevea en la
ley penitenciaria (SSTC 58/1998, de 16 de marzo, FJ 3, y 6/2020, de 27 de
enero, FJ 3). En relación con el tratamiento de categorías especiales de datos,
![Page 45: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/45.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 45
el precepto legal debería establecer expresamente, que deberán establecerse
garantías adecuadas para preservar los derechos y libertades de los reclusos.
137.- Resulta, asimismo, llamativo que la letra c) del apartado 1 del
artículo 11 APL haga referencia a «datos que el interesado haya hecho
manifiestamente públicos» sin introducir definición alguna al respecto ni
pautas regulatorias, no obstante existir abundantes pronunciamientos del
Tribunal Supremo y del Tribunal Constitucional al respecto, que han
pretendido colmar las lagunas normativas existentes. Así, pueden citarse,
entre otros muchos:
Sentencia de la Sala de lo Civil del Tribunal Supremo 476/2018, de 20
de julio, dictada en el recurso de casación 2355/2017,
(ECLI:ES:TS:2018:2748), en la que se afirma “[…] que la prestación
de consentimiento para la publicación de la propia imagen en Internet
conlleva el consentimiento para la difusión de esa imagen cuando tal
difusión, por sus características, sea una consecuencia natural del
carácter accesible de los datos e imágenes publicados en Internet”;
Sentencia de la Sala de lo Civil del Tribunal Supremo 41/2018, de 26
de enero, dictada en el recurso de casación nº 1081/2016 (ECLI:
ES:TS:2018:122) que admite la publicación, por tiempo limitado, en
una web policial de la imagen de una persona, captada mientras
participaba en hechos con apariencia delictiva, como medio idóneo
para alcanzar una finalidad legítima, como es la averiguación de la
identidad del presunto delincuente;
Sentencia de la Sala de lo Civil del Tribunal Supremo 697/2019, de 19
de diciembre, dictada en el recurso de casación nº 4528/2018
(ECLI:ES:TS:2019:4076), sobre la publicación de la fotografía de una
persona detenida y en prisión preventiva, obtenida -sin su
consentimiento- de su perfil en la página web de una red social, a la
que se tenía libre acceso por tratarse de un perfil público, en la se
alude a la anterior sentencia 91/2017, de 15 de febrero, afirmando que
«[u]na cuenta de Facebook no tiene la consideración de "lugar abierto
al público", a efectos de aplicar el art. 8.2.a) de la Ley Orgánica
1/1982. Tampoco el hecho de que pueda accederse libremente a la
fotografía del perfil de dicha cuenta constituye el "consentimiento
expreso" que prevé el art. 2.2 de la Ley Orgánica 1/1982 como
excluyente de la ilicitud de la captación, reproducción o publicación de
la imagen de una persona […]».
![Page 46: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/46.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 46
Sentencia de la Sala de lo Penal del Tribunal Supremo 685/2010, de 7
de julio, dictada en el recurso 558/2010 (ECLI:ES:TS:2010:3971),
sobre la validez de la recogida, por parte de la Policía Judicial, por
propia iniciativa, de huellas, vestigios o restos biológicos abandonados
en el lugar del delito así como de las muestras que pudiendo pertenecer
a la víctima se hallaren localizadas en objetos personales del acusado,
siguiendo la línea del Acuerdo no jurisdiccional de esta Sala de 31 de
enero de 2006.
STC 14/2003, de 28 de enero, recurso de amparo núm. 4184-2000,
(ECLI:ES:TC:2003:14) relativa a la divulgación por la policía de la
fotografía de un detenido para dar difusión, mediante su publicación
en la prensa, a la detención de una determinada persona; por tanto,
con una finalidad distinta de la persecución del delito o la averiguación
de la identidad del delincuente.
Y recientemente, con carácter general, STC 27/2020, de 24 de febrero
de 2020, sobre los límites de la eficacia legitimante del consentimiento
para el uso por terceros de datos personales publicados en redes
sociales y entornos tecnológicos abiertos («hay que concluir que el
ciudadano desconoce la mayor parte de las veces el contenido real y
las consecuencias del otorgamiento de la autorización exigida para su
registro y utilización, pues resultan de no fácil comprensión para
cualquier usuario medio que no disponga de conocimientos jurídicos y
tecnológicos, por lo que difícilmente en este caso puede hablarse de
un consentimiento basado en información fiable o confiable. En
consecuencia, a juicio de este Tribunal, el consentimiento dado para la
utilización por terceros de la información suministrada por el usuario
se desvanece no solo por las distorsiones del comportamiento de los
usuarios en el momento del registro inicial sino también durante su
participación en la red.» FJ 4)
138.- En relación con el tratamiento de los datos de personas menores de
edad si bien el apartado 2 del artículo 11 alude exclusivamente a la
necesidad de garantizar el interés superior del menor, la MAIN pone en
conexión esta necesidad con «el resto de los bienes jurídicos afectados»
(página 18), explicando la Memoria en la página 39 que «[l]a ley recuerda
que los datos de los menores se pueden tratar, si bien, al entenderlos como
una categoría especial más, establece la necesidad de preservar el interés del
menor y elevar las medidas de seguridad», a pesar de que el artículo 11.2,
único del texto proyectado referido al tratamiento de los datos de personas
![Page 47: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/47.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 47
menores de edad, se limite a recoger una referencia genérica al «nivel de
seguridad adecuado», por lo que se sugiere cohonestar ambos documentos.
139.- El Considerando 50 de la Directiva remarca la necesidad de incorporar
garantías específicas en relación con el tratamiento de los datos personales
de personas físicas vulnerables, al señalar que:
«(50) Se debe establecer la responsabilidad del responsable del
tratamiento en relación con cualquier tratamiento de datos personales
realizado por él mismo o en su nombre. En particular, el responsable
del tratamiento debe estar obligado a poner en marcha medidas
oportunas y eficaces y a poder demostrar la conformidad de las
actividades de tratamiento con la presente Directiva. Estas medidas
deben tener en cuenta la naturaleza, el alcance, el contexto y los fines
del tratamiento, así como el riesgo que representan para los derechos
y las libertades de las personas físicas. Las medidas adoptadas por el
responsable del tratamiento deben incluir la formulación y puesta en
marcha de salvaguardias específicas en relación con el tratamiento de
los datos personales de personas físicas vulnerables, en particular los
niños.»
140.- Además, no puede olvidarse que conforme al Considerando 97 «[l]a
presente Directiva se entiende sin perjuicio de las normas relativas a la lucha
contra los abusos sexuales, la explotación sexual de los menores, y la
pornografía infantil, tal como se establecen en la Directiva 2011/93/UE del
Parlamento Europeo y del Consejo» y que ésta obliga a los Estados miembros
a endurecer las sanciones penales en materia de lucha contra los abusos
sexuales, la explotación sexual de menores y la pornografía infantil, «que sin
duda constituyen graves violaciones de los derechos fundamentales y, en
particular, de los derechos del niño a la protección y a los cuidados necesarios
para su bienestar, tal como establecen la Convención de las Naciones Unidas
sobre los Derechos del Niño de 1989 y la Carta de los Derechos
Fundamentales de la Unión Europea».
141.- Así, al margen de la obligación establecida en el Convenio para la
protección de los niños contra la explotación y el abuso sexual, hecho en
Lanzarote el 27 de Octubre de 2007, y ratificado por España en el año 2010
(BOE de 12 de noviembre de 2010), de adoptar las medidas necesarias para
almacenar los datos relativos a la identidad y perfil genético de las personas
condenadas por los delitos tipificados con arreglo al conocido como Convenio
de Lanzarote, el Considerando 43 de la Directiva 2011/93/UE contempla la
![Page 48: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/48.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 48
posibilidad de establecer registros de delincuentes sexuales en los siguientes
términos:
«Los Estados miembros podrán considerar la adopción de medidas
administrativas adicionales en relación con los delincuentes, tales
como establecer la inscripción de personas condenadas por las
infracciones contempladas en la presente Directiva en registros de
delincuentes sexuales. El acceso a estos registros debe estar sujeto a
limitaciones con arreglo a los principios constitucionales nacionales y
las normas aplicables en materia de protección de datos, por ejemplo,
permitiendo el acceso solamente a las autoridades judiciales o a los
cuerpos y fuerzas de seguridad.»
142.- Por ello, aun cuando no forme parte del Anteproyecto objeto del
presente informe, pero entendiéndose como cuestión directamente vinculada
al mismo, ha de recordarse la conclusión formulada por éste órgano
constitucional en el Informe aprobado por el Pleno del día 30 de mayo de
2019, sobre el Anteproyecto de Ley Orgánica de protección integral a la
infancia y la adolescencia frente a la violencia, en el que se puso de manifiesto
que «atendido el carácter imperativo de la obligación impuesta por el artículo
37 del Convenio de Lanzarote, no sometida a limitación o condición alguna,
se sugiere valorar la conveniencia de modificar su regulación actual, incluso
a través de su configuración como pena privativa de derechos (art. 39 CP), a
fin de garantizar el cumplimiento de la obligación de almacenar los datos
relativos a la identidad y perfil genético (ADN) de las personas condenadas
por cualquiera de los delitos tipificados con arreglo al Convenio de Lanzarote,
como exige el citado Tratado Internacional, ratificado por España».
143.- Por lo que respecta a los datos genéticos, definidos en los mismos
términos en los artículos 4.13) del Reglamento y 3.12) de la Directiva, ha de
destacarse la Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base
de datos policial sobre identificadores obtenidos a partir del ADN, que no ha
sufrido modificación alguna desde su publicación, por lo que se sugiere
valorar la conveniencia de adaptar dicha norma a las nuevas previsiones de
la normativa de protección de datos.
144.- Además de la anterior consideración ha de destacarse que el
proyectado artículo 11 incorpora las previsiones recogidas en el artículo 10
de la Directiva, de idéntica rúbrica y siguiente tenor literal (el remarcado es
nuestro):
![Page 49: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/49.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 49
«El tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o
la afiliación sindical, así como el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o a la vida sexual o las orientaciones
sexuales de una persona física solo se permitirá cuando sea
estrictamente necesario, con sujeción a las salvaguardias adecuadas
para los derechos y libertades del interesado y únicamente cuando:
a) lo autorice el Derecho de la Unión o del Estado miembro;
b) sea necesario para proteger los intereses vitales del interesado o de
otra persona física, o
c) dicho tratamiento se refiera a datos que el interesado haya hecho
manifiestamente públicos.»
145.- Si bien, aparentemente, el artículo 11 APLO cuenta con una redacción
similar a la recogida en el artículo 10 de la Directiva, se observa, sin embargo,
que la dicción del texto proyectado se aparta de las directrices recogidas en
el precepto que pretende transponer al recoger, con carácter general, unos
términos menos restrictivos, como resulta de la omisión de los adverbios
“sólo” y “únicamente”, no pudiendo olvidar que el considerando 37 de la
Directiva remarca la especial protección que «merecen los datos personales
que, por su naturaleza, son particularmente sensibles en relación con los
derechos y las libertades fundamentales, ya que el contexto de su
tratamiento puede generar riesgos importantes para los derechos y las
libertades fundamentales».
146.- Asimismo, en cuanto a la delimitación de los supuestos en los que será
posible el tratamiento de dichos datos, que el texto proyectado hace
descansar sobre el cumplimiento de «alguna» de las tres circunstancias que
enumera, se observa que se aparta del marco jurídico europeo común que se
pretende establecer, toda vez que el artículo 10 de la Directiva autoriza el
tratamiento de estos datos «únicamente» cuando además de autorizarlo el
Derecho de la Unión o del Estado miembro -en los términos que explica el
Considerando 37-, concurra alguna de las dos circunstancias que
seguidamente se enumeran, a saber, que sea necesario para proteger los
intereses vitales del interesado o de otra persona física, o que dicho
tratamiento se refiera a datos que el interesado haya hecho manifiestamente
públicos.
![Page 50: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/50.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 50
147.- De este modo, por lo que respecta a la redacción del proyectado
artículo 11 “[t]ratamiento de categorías especiales de datos personales” se
ha de adecuar la misma a fin de no mermar o restringir, ni apartarse, de las
exigencias establecidas en el artículo 10 de la Directiva.
148.- El artículo 12 del Anteproyecto, “[m]ecanismo de decisión
individualizado” incorpora a nuestro Ordenamiento el artículo 11 de la
Directiva que regula el uso de decisiones automatizadas por parte de las
autoridades competentes en el ámbito de aplicación de la Directiva, con el
siguiente tenor proyectado:
«1. No se adoptarán decisiones individuales automatizadas que
produzcan efectos jurídicos negativos para el interesado o le
repercutan significativamente de forma adversa. Estas decisiones no
se basarán, únicamente, en un tratamiento automatizado de datos
personales que comprenda la elaboración de perfiles, salvo que se
autorice expresamente por una norma con rango de ley o por una
norma del Derecho de la Unión Europea. La norma habilitante del
tratamiento deberá establecer las medidas adecuadas para
salvaguardar los derechos y libertades del interesado, incluyendo el
derecho a obtener la intervención humana en el proceso de revisión de
la decisión adoptada.
2. Queda prohibida la elaboración de perfiles que dé lugar a una
discriminación de las personas físicas sobre la base de categorías
especiales de datos personales establecidas en el artículo 11.»
149.- El Libro Blanco sobre la inteligencia artificial, un enfoque europeo
orientado a la excelencia y la confianza, presentado por la Comisión Europea
el 19 de febrero de 2020, define a la inteligencia artificial como combinación
de tecnologías que agrupa datos, algoritmos y capacidad informática,
señalando que supone una oportunidad para proteger mejor a los ciudadanos
de la UE de la delincuencia y los actos de terrorismo, afirmando que las
herramientas de inteligencia artificial “podrían, por ejemplo, ayudar a
detectar propaganda terrorista en línea, descubrir transacciones sospechosas
en la venta de productos peligrosos, detectar objetos peligrosos ocultos o
productos y sustancias ilícitos, ofrecer asistencia a los ciudadanos en
situaciones de emergencia y servir de orientación al personal de primera
intervención” y concluyendo que puede contribuir a encontrar soluciones al
problema de la lucha contra la delincuencia.
![Page 51: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/51.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 51
150.- Tanto el RGPD como la Directiva han previsto importantes garantías
en favor de aquellos particulares que se ven sometidos a un tratamiento
basado en decisiones totalmente automatizadas, esto es, a través del uso de
algoritmos o sistemas informáticos donde no existe intervención del ser
humano en la decisión adoptada.
151.- En particular, señalan los Considerandos 18 y 38 de la Directiva que:
«18) Para evitar que se produzcan graves riesgos de elusión, la
protección de las personas físicas debe ser tecnológicamente neutra y
no debe depender de las técnicas utilizadas. La protección de las
personas físicas debe aplicarse al tratamiento automatizado de los
datos personales, así como a su tratamiento manual si los datos
personales están contenidos o destinados a ser incluidos en un fichero.
Los ficheros o conjuntos de ficheros y sus portadas que no estén
estructurados con arreglo a criterios específicos no deben incluirse en
el ámbito de aplicación de la presente Directiva.
(38) El interesado debe tener derecho a no ser objeto de una decisión
que evalúe aspectos personales que le conciernen que se base
únicamente en un tratamiento automatizado de los datos y que tenga
efectos jurídicos adversos que le conciernan o le afecten
significativamente. En todo caso, este tipo de tratamiento debe estar
sujeto a las garantías apropiadas, lo que incluye informar de forma
específica al interesado, así como el derecho a la intervención humana,
en particular para que el interesado pueda expresar su punto de vista,
obtener una explicación de la decisión adoptada tras dicha evaluación,
o ejercer su derecho a impugnar la decisión. Queda prohibida la
elaboración de perfiles que dé lugar a la discriminación de personas
físicas por razones basadas en datos personales que, por su naturaleza,
son especialmente sensibles en relación con los derechos y las
libertades fundamentales, con arreglo a las condiciones previstas en
los artículos 21 y 52 de la Carta.»
152.- La relevancia del tratamiento conjunto de datos, y su incidencia en el
derecho fundamental a la intimidad, fue puesta de relieve en la STC
173/2011, de 7 de noviembre (recurso de amparo núm. 5928-2009,
ECLI:ES:TC:2011:173), recordando la importancia de dispensar protección
constitucional al cúmulo de información personal derivada del uso de los
instrumentos tecnológicos de nueva generación por su incidencia en el ámbito
![Page 52: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/52.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 52
de la intimidad, constitucionalmente protegido, del análisis conjunto o
interrelacionado y de la explotación del cúmulo de información personal
almacenada.
153.- Asimismo, asistimos al reconocimiento jurisprudencial de nuevos
derechos derivados del desarrollo de las nuevas tecnologías, dentro de la
categoría de lo que se han venido a denominar derechos constitucionales de
nueva generación, como el derecho a la protección del propio entorno virtual
al que se refiere la Sentencia del Tribunal Constitucional 173/2011, de 7 de
noviembre, dictada en el recurso de amparo 5928-2009
(ECLI:ES:TC:2011:173) o la Sentencia de la Sala Segunda del Tribunal
Supremo, de 10 de marzo de 2016, (ECLI:ES:TS:2016:1218), como derecho
en el que «[…] se integraría, sin perder su genuina sustantividad como
manifestación de derechos constitucionales de nomen iuris propio, toda la
información en formato electrónico que, a través del uso de las nuevas
tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o
sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible
de seguimiento por los poderes públicos. Surge entonces la necesidad de
dispensar una protección jurisdiccional frente a la necesidad del Estado de
invadir, en las tareas de investigación y castigo de los delitos, ese entorno
digital.»
154.- En relación con el artículo 11 de la Directiva y los mecanismos de
decisión individual automatizados, resulta relevante traer a colación la
normativa francesa que con ocasión de la transposición de la Directiva UE
2016/680, ha venido a modificar el artículo 10 de la Ley 78-17, de 6 de enero
de 1978, sobre procesamiento de datos, archivos y libertades, autorizando a
la Administración a adoptar decisiones individuales que tengan efectos
legales o que afecten significativamente a una persona sobre la base de un
algoritmo, habiéndose pronunciado al respecto el Consejo Constitucional
Francés, en la Decisión n° 2018-765 DC, de 12 de junio de 2018, avalando
la nueva normativa al entender que el legislador ha definido las garantías
apropiadas para la salvaguarda de los derechos y libertades de las personas
sujetas a decisiones administrativas individuales tomadas sobre la base
exclusiva de un algoritmo.
155.- Así, explica el Consejo Constitucional Francés, al analizar las garantías
establecidas para la salvaguarda de los derechos y libertades de las personas,
que la nueva normativa se limita a autorizar a la Administración a realizar
una evaluación individual de la situación del ciudadano por el único medio de
![Page 53: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/53.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 53
un algoritmo; de acuerdo con una reglas y criterios definidos de antemano;
que no autorizan a la Administración a adoptar decisiones sin fundamento
jurídico, ni a aplicar otras normas distintas de las vigentes; que la utilización
del algoritmo por la Administrativa exige que la decisión administrativa
individual ha de indicar explícitamente que se adoptó sobre la base de un
algoritmo; que las principales características de la implementación del
algoritmo han de ser comunicadas a la persona interesada si ésta lo solicita,
de manera que cuando se trate de algoritmos en los que ésta información no
pueda ser facilitada, por ejemplo por razón del secreto comercial, la
Administración no podrá tomar una decisión individual sobre la base exclusiva
de este algoritmo; que la Administración ha de poder explicar en detalle y de
forma inteligible al interesado cómo se ha implementado el procesamiento y
finalmente, que la decisión administrativa individual debe poder ser objeto
de los correspondientes recursos administrativos y de posterior control
judicial, pudiendo el Juez requerir a la Administración para que comunique
las características del algoritmo.
156.- En el artículo 12 del Anteproyecto, con la exigencia relativa a que
«[l]a norma habilitante del tratamiento deberá establecer las medidas
adecuadas para salvaguardar los derechos y libertades del interesado», que
se limita a transcribir de forma literal lo dispuesto al respecto en el apartado
1 del artículo 11 de la Directiva, una vez más, el prelegislador incorpora
parámetros genéricos carentes de la necesaria concreción en orden a dar
cumplimiento al principio de reserva de ley establecido en el 81.1 de la
Constitución, sin que obste a esta observación lo dispuesto en el artículo 30.2
del Anteproyecto relativo a las medidas de seguridad a implementar por el
responsable o encargado del tratamiento, exigidas a su vez por el artículo
29.2 de la Directiva.
157.- Es el Considerando 38 de la Directiva, anteriormente transcrito, el que
ofrece algunos ejemplos de garantías apropiadas, no recogidas en el texto
proyectado, como informar de forma específica al interesado, el derecho a la
intervención humana, en particular para que el interesado pueda expresar su
punto de vista, obtener una explicación de la decisión adoptada tras dicha
evaluación, o ejercer su derecho a impugnar la decisión, ejemplos que
resultan coincidentes con los recogidos en el Considerando 71 del RGPD que
añade, en su segundo párrafo lo siguiente:
«A fin de garantizar un tratamiento leal y transparente respecto del
interesado, teniendo en cuenta las circunstancias y contexto
específicos en los que se tratan los datos personales, el responsable
![Page 54: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/54.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 54
del tratamiento debe utilizar procedimientos matemáticos o
estadísticos adecuados para la elaboración de perfiles, aplicar medidas
técnicas y organizativas apropiadas para garantizar, en particular, que
se corrigen los factores que introducen inexactitudes en los datos
personales y se reduce al máximo el riesgo de error, asegurar los datos
personales de forma que se tengan en cuenta los posibles riesgos para
los intereses y derechos del interesado y se impidan, entre otras cosas,
efectos discriminatorios en las personas físicas por motivos de raza u
origen étnico, opiniones políticas, religión o creencias, afiliación
sindical, condición genética o estado de salud u orientación sexual, o
que den lugar a medidas que produzcan tal efecto»
158.- Esta falta de concreción y determinación de las medidas adecuadas
para salvaguardar los derechos y libertades del interesado, a su vez, ha de
ponerse en conexión con el artículo 50.n) del Anteproyecto que tipifica como
infracción muy grave “[l]La adopción de decisiones individuales
automatizadas sin las garantías señaladas en el artículo 12”, sin que el
artículo 12 determine debidamente cuáles son éstas garantías, lo que resulta
contrario a la necesaria certeza que demanda el Derecho administrativo
sancionador.
159.- Ante los límites ligados a la opacidad de los algoritmos y en ausencia
de normas específicas que regulen o prevean garantías concretas, podría
resultar conveniente abordar la regulación del proceso de elaboración de
estos algoritmos, incluso su necesidad de homologación o registro, a fin de
evitar la utilización de aquellos que contengan sesgos discriminatorios y dar
cumplimiento efectivo al mandato recogido en el artículo 11.3 de la Directiva
y 12.2 del Anteproyecto que prohíbe la elaboración de perfiles que dé lugar
a una discriminación de las personas físicas basándose en las categorías
especiales de datos antes mencionadas.
160.- Asimismo, de acuerdo con lo establecido en el artículo 12.2 APLO, la
mera existencia de sospechas fundadas de que un algoritmo toma decisiones
sesgadas, debería determinar, de forma automática, el cese de su utilización
por parte de las autoridades competentes.
161.- A ello debe añadirse que tampoco el artículo 12.1 del texto proyectado
transpone adecuadamente las exigencias establecidas en el apartado 1 del
artículo 11 de la Directiva toda vez que éste último exige implementar, como
medida adecuada para salvaguardar los derechos y libertades del interesado,
«al menos el derecho a obtener la intervención humana por parte del
![Page 55: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/55.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 55
responsable del tratamiento», incluyendo el artículo 12 APLO el derecho a
obtener la intervención humana en el proceso de revisión de la decisión
adoptada, pero omitiendo la exigencia de que esta revisión ha de llevarse a
efecto «por parte del responsable del tratamiento».
162.- Asimismo, atendiendo a las herramientas informáticas hoy disponibles
y a las posibilidades que ofrece el tratamiento automatizado de datos,
haciendo referencia expresa la Directiva a los datos que el interesado ya ha
hecho públicos de forma manifiesta, como circunstancia que permite y
legitima el tratamiento de datos especialmente sensibles, a los que se dota
de especial protección, resultaría sumamente conveniente abordar la
regulación de la utilización por parte de las fuerzas y cuerpos de seguridad
de la información obtenida de fuentes abiertas, conocida por el acrónimo
anglosajón OSINT, Open Source Intelligence, atendiendo a un fin
constitucionalmente legítimo, como es el interés público propio de la
investigación de los delitos y el descubrimiento de los delincuentes, lo que
constituye un bien digno de protección constitucional, a través del cual se
defienden otros como la paz social y la seguridad ciudadana, bienes
igualmente reconocidos en los artículos 10.1 y 104.1 de la Constitución.
163.- El apartado 2 del artículo 12 del Anteproyecto, en línea con el artículo
11.3 de la Directiva, prohíbe la elaboración de perfiles que dé lugar a una
discriminación de las personas físicas sobre la base de categorías especiales
de datos personales. La norma nacional de transposición debería dar un paso
más en la protección frente a la discriminación derivada de mecanismos de
decisión individual automatizados y prohibir por este tipo de mecanismos el
tratamiento de categorías especiales de datos.
164.- El artículo 17 APLO aborda las «[r]estricciones a los derechos de
información, acceso, rectificación o supresión de datos personales y a la
limitación de su tratamiento» a que se refieren los apartados 3 y 4 del artículo
13, el artículo 15 y el apartado 4 del artículo 16, todos ellos de la Directiva,
recogiendo el texto proyectado lo siguiente:
«1. El responsable del tratamiento podrá aplazar, limitar u omitir la
información a la que se refiere el artículo 13, así como denegar, total
o parcialmente, las solicitudes de ejercicio de los derechos
contemplados en los artículos 14 y 15, siempre que, teniendo en
cuenta los derechos fundamentales y los intereses legítimos de la
![Page 56: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/56.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 56
persona afectada, resulte necesario y proporcional para la consecución
de los siguientes fines:
a) Impedir que se obstaculicen indagaciones, investigaciones o
procedimientos judiciales.
b) Evitar que se cause perjuicio a la prevención, detección,
investigación o enjuiciamiento de infracciones penales o a la ejecución
de sanciones penales.
c) Proteger la seguridad pública.
d) Proteger la Seguridad Nacional.
e) Proteger los derechos y libertades de otras personas.
2. En caso de restricción de los derechos contemplados en los artículos
14 y 15, el responsable del tratamiento informará por escrito al
interesado sin dilación indebida, y en todo caso en el plazo de un mes,
de cualquier restricción de sus derechos, de las razones de la
restricción, así como de las posibilidades de presentar una reclamación
ante la autoridad de protección de datos, sin perjuicio de las restantes
acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta
ley orgánica.
Las razones de la restricción podrán ser omitidas cuando la aportación
de dicha información pueda poner en riesgo los fines a los que se
refiere el apartado 1.
4. El responsable del tratamiento documentará los fundamentos de
hecho o de derecho en los que se sustente la decisión denegatoria del
ejercicio de los derechos establecidos en los artículos 14 y 15. Dicha
información, así como la establecida en el apartado anterior, estará a
disposición de las autoridades de protección de datos.»
165.- Se observa, en primer lugar, una discordancia entre el título del artículo
proyectado, que alude a las «[r]estricciones a los derechos de […]
rectificación o supresión de datos personales […]», a que se refiere el artículo
16.4 de la Directiva, y el contenido del mismo que no alude al artículo 16
APLO, a pesar de ser éste el precepto que se ocupa del «[d]erecho de
rectificación o supresión de datos personales y limitación de su tratamiento».
![Page 57: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/57.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 57
166.- En cuanto al contenido, el apartado 1 del artículo 17 recoge una
confusa cadena de remisiones ya que reenvía a la información a que se refiere
el artículo 13, precepto que, a su vez, vuelve a efectuar una remisión a «toda
la información contemplada en el artículo 14, así como la derivada de los
artículos 12, 15 a 19 y 32», por lo que se sugiere modificar la redacción de
éste precepto en términos que resulten claros y precisos, no pudiendo olvidar
que se trata de regular restricciones de derechos.
167.- Asimismo, a pesar de que el precepto proyectado incorpora las
previsiones de la Directiva de forma prácticamente literal, dado que la
transposición obliga al legislador nacional a establecer una regulación interna
coherente, atendida la diversidad de los fines expuestos y al objeto de que el
contenido del artículo resulte claro en orden a su aplicación por los
operadores jurídicos, resultaría conveniente adecuar la redacción del artículo
17 APLO (apartados 1 y segundo párrafo del apartado 2), aclarando si basta
la concurrencia de uno de estos fines para legitimar las restricciones a los
derechos de información, acceso, rectificación o supresión de datos
personales y a la limitación de su tratamiento, así como revisar la numeración
de los apartados, toda vez que se observa la omisión del apartado 3.
168.- El artículo 18 APLO dispone que «el responsable del tratamiento
informará al interesado de la posibilidad de que sus derechos sean ejercitados
a través de la autoridad de protección de datos», en los casos contemplados
en los artículos 15.3 («Se entenderá concedido el derecho de acceso si el
responsable del tratamiento facilita al interesado un sistema remoto, directo
y seguro que garantice, de modo permanente, el acceso a la totalidad de sus
datos personales. La comunicación del sistema al interesado permitirá
denegar su solicitud de acceso») y 16.1 («1. El interesado tendrá derecho a
obtener del responsable del tratamiento, sin dilación indebida, la rectificación
de los datos personales que le conciernen, cuando tales datos resulten
inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tendrá
derecho a que se completen los datos personales cuando éstos resulten
incompletos. El interesado deberá indicar en su solicitud a qué datos se
refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea
preciso, la documentación justificativa de la inexactitud o del carácter
incompleto de los datos objeto de tratamiento»).
169.- Este precepto ha de ponerse en conexión con lo dispuesto en el artículo
17.1 de la Directiva, que exige a los Estados miembros adoptar medidas por
las que se disponga que los derechos del interesado también puedan
![Page 58: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/58.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 58
ejercerse a través de la autoridad de control competente en los casos
contemplados:
- en primer lugar, en el artículo 13, apartado 3, que autoriza a los
Estados miembros a adoptar medidas legislativas por las que se
retrase, limite u omita la puesta a disposición del interesado de la
información que debe ponerse a su disposición o que se le debe
proporcionar, “siempre y cuando dicha medida constituya una medida
necesaria y proporcional en una sociedad democrática, teniendo
debidamente en cuenta los derechos fundamentales y los intereses
legítimos de la persona física afectada, para: a) evitar que se
obstaculicen indagaciones, investigaciones o procedimientos oficiales o
judiciales; b) evitar que se cause perjuicio a la prevención, detección,
investigación o enjuiciamiento de infracciones penales o a la ejecución
de sanciones penales; c) proteger la seguridad pública; d) proteger la
seguridad nacional; e) proteger los derechos y libertades de otras
personas”;
- en segundo lugar, en el supuesto del artículo 15, apartado 3, que
obliga a los Estados miembros a prever que, en los casos en que se
restrinja, total o parcialmente, el derecho de acceso del interesado,
(posibilidad que exige que “dicha restricción parcial o completa
constituya una medida necesaria y proporcional en una sociedad
democrática, teniendo debidamente en cuenta los derechos
fundamentales y los intereses legítimos de la persona física afectada,
para: a) evitar que se obstaculicen indagaciones, investigaciones o
procedimientos oficiales o judiciales; b) evitar que se cause perjuicio a
la prevención, detección, investigación o enjuiciamiento de infracciones
penales o a la ejecución de sanciones penales; c) proteger la seguridad
pública; d) proteger la seguridad nacional; e) proteger los derechos y
libertades de otras personas”), el responsable del tratamiento informe
por escrito al interesado, sin dilación indebida, de cualquier denegación
o limitación de acceso, y de las razones de la denegación o de la
restricción del derecho de acceso, pudiendo omitirse esta información
cuando el suministro de dicha información pueda comprometer uno de
los fines señalados en el apartado 1 del artículo 15, señalándose,
además que los Estados miembros dispondrán que el responsable del
tratamiento informe al interesado de las posibilidades de presentar una
reclamación ante la autoridad de control y de interponer un recurso
judicial;
![Page 59: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/59.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 59
- finalmente, en el caso del artículo 16, apartado 4, que obliga a los
Estados miembros a disponer que el responsable del tratamiento
informe al interesado por escrito de cualquier denegación de
rectificación o supresión de los datos personales, o de limitación de su
tratamiento, y de las razones de la denegación, pudiéndose “adoptar
medidas legislativas por las que se restrinja, total o parcialmente, la
obligación de proporcionar tal información, siempre y cuando dicha
limitación del tratamiento constituya una medida necesaria y
proporcional en una sociedad democrática, teniendo debidamente en
cuenta los derechos fundamentales y los intereses legítimos de la
persona física afectada, para: a) evitar que se obstaculicen
indagaciones, investigaciones o procedimientos oficiales o judiciales;
b) evitar que se cause perjuicio a la prevención, detección,
investigación o enjuiciamiento de infracciones penales o a la ejecución
de sanciones penales; c) proteger la seguridad pública; d) proteger la
seguridad nacional; e) proteger los derechos y libertades de otras
personas”, señalándose, además, igual que en el artículo 15,3 que “los
Estados miembros dispondrán que el responsable del tratamiento
informe al interesado de las posibilidades de presentar una reclamación
ante la autoridad de control y de interponer un recurso judicial”.
170.- De lo expuesto deriva la falta de correspondencia entre los supuestos
a los que se refieren los artículos 15.3 y 16.1 a los que remite el artículo 18.1
del Anteproyecto y los previstos en los artículos 13.3, 15.3 y 16.4 de la
Directiva, en los que se ha de disponer que los derechos del interesado
también puedan ejercerse a través de la autoridad de control competente,
como evidente garantía adicional de control en supuestos en los que se limita
o restringe la información que debe ponerse a disposición del interesado o
que se le debe proporcionar, el derecho de acceso o el tratamiento del
derecho de rectificación o supresión de datos personales.
171.- En cuanto a la previsión recogida en el artículo 18.2 del
Anteproyecto sobre el «derecho a interponer recurso contencioso-
administrativo» ha de clarificarse la redacción a fin de concretar en el texto
proyectado, debidamente, el acto contra el que cabría el citado recurso,
resultando importante poner en conexión las funciones atribuidas a las
autoridades de protección de datos, autoridades de control, y la competencia
de la Jurisdicción Contencioso-administrativa para conocer de la impugnación
de los actos procedentes de las mismas, ya que su independencia, a que se
![Page 60: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/60.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 60
refiere el artículo 8.3 CDFUE, no debe significar que dichas autoridades
puedan quedar exentas de control judicial -según expresa el considerando
118 RGPD-, lo que se entiende, además, acorde con la exigencia de respetar
el contenido esencial del derecho fundamental a la tutela judicial efectiva del
artículo 47 de la CDFUE. Por lo demás, resultaría sumamente conveniente
que el Anteproyecto incorporase previsiones específicas sobre el régimen de
impugnación de los actos de las autoridades de protección de datos.
172.- Abre el Capítulo IV “[r]esponsable y encargado de tratamiento” el
artículo 20, rubricado “[o]bligaciones del responsable del tratamiento”,
señalando lo siguiente:
«1. El responsable del tratamiento, tomando en consideración la
naturaleza, el ámbito, el contexto y los fines del tratamiento, así como
los niveles de riesgo para los derechos y libertades de las personas
físicas, aplicará las medidas técnicas y organizativas apropiadas para
garantizar que el tratamiento se lleve a cabo de acuerdo con esta ley
orgánica y con lo previsto en la legislación sectorial y en sus normas
de desarrollo, así como, en los supuestos previstos en el artículo 18,
en la Ley Orgánica 6/1985, de 1 de julio, o en la legislación procesal
que resulte de aplicación. Tales medidas se revisarán y actualizarán
cuando resulte necesario.
2. Entre las medidas mencionadas en el apartado anterior se incluirá
la aplicación de las oportunas políticas de protección de datos, cuando
sean proporcionadas en relación con las actividades de tratamiento.»
173.- A parte de las consideraciones efectuadas más arriba en relación con
la remisión a la LOPJ que se contiene en el precepto, debe señalarse que el
artículo 20 APLO, a pesar de su rúbrica, no parece detallar o delimitar en
su contenido, más allá de la necesidad de adoptar las medidas técnicas y
organizativas apropiadas, cuáles son las obligaciones del responsable del
tratamiento y no incorpora a nuestro Derecho interno la previsión establecida
en el artículo 19.1 de la Directiva con la amplitud exigida por la norma que
se transpone, toda vez que ésta exige al responsable del tratamiento
«garantizar y estar en condiciones de demostrar que el tratamiento se lleva
a cabo de conformidad con la presente Directiva», mientras que el precepto
proyectado recoge únicamente la obligación «garantizar».
174.- La referencia genérica a la adopción de las «medidas técnicas y
organizativas» que resulten apropiadas, que se recoge en diferentes partes
![Page 61: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/61.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 61
del Anteproyecto, así, en el apartado IV de la Exposición de Motivos, y en los
artículos 20, 21, 23, 25, 30, 50, 51, 52, de forma similar a lo dispuesto en
los artículos 4, 19, 20, 22, 24, 29 y 31 de la Directiva, a nuestro parecer no
colmarían la mínima previsión legal a fin de no derivar, exclusivamente, en
el aplicador de la norma lo que debe entenderse por tal concepto.
175.- A esta falta de concreción, que traslada la dotación de contenido del
referido concepto al aplicador de la norma, ha de añadirse que los artículos
50.g), 51.g) y j) y 52.a) del Anteproyecto tipifican diferentes infracciones
relacionadas con la falta de adopción o incumplimiento de las medidas
técnicas y organizativas exigibles, lo cual resulta contrario a las exigencias
de certeza exigidas por el Derecho administrativo sancionador.
176.- El artículo 26 del APLO regula el registro de operaciones como una
de las medidas de seguridad que debe adoptarse en relación con los
tratamientos objeto de la Directiva. El apartado 2 de este precepto incorpora
la previsión del artículo 25.2 de la Directiva en unos términos que la hacen
irreconocible. En efecto, establece el artículo 26.2 del APLO que «Estos
registros se utilizarán en el ámbito de los procesos penales únicamente a
efectos de verificar la legalidad del tratamiento; controlar el cumplimiento de
las medidas y de las políticas de protección de datos, y garantizar la
integridad y la seguridad de los datos personales». En cambio, el artículo 25.2
de la Directiva dispone que «Dichos registros se utilizarán únicamente a
efectos de verificar la legalidad del tratamiento, autocontrol, garantizar la
integridad y la seguridad de los datos personales y en el ámbito de los
procesos penales». La redacción del apartado 2 del artículo 26 debe
acomodarse más fielmente a lo establecido en la Directiva.
177.- El artículo 31.1 del Anteproyecto establece la obligación de
notificar, por parte del responsable del tratamiento a la autoridad de
protección de datos, cualquier violación de la seguridad de los datos
personales, «a menos que sea improbable que la violación de la seguridad de
los datos personales constituya un peligro para los derechos y las libertades
de las personas físicas», recogiendo, una vez más, una mera reproducción
literal de lo dispuesto en la Directiva (artículo 30.1), incorporando al Derecho
interno una referencia carente de la necesaria concreción y determinación
para su correcta aplicación por el destinatario de la norma.
178.- Esta misma observación resulta trasladable al artículo 32.1 del texto
proyectado en tanto deja en manos del responsable del tratamiento la
valoración de cuándo una violación de la seguridad de los datos personales
![Page 62: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/62.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 62
supone «un alto riesgo para los derechos y libertades de las personas físicas»,
sin ofrecer al aplicador de la norma las pautas necesarias para dotar de
contenido a esta circunstancia, tipificando, además, el Anteproyecto, en los
artículos 50.p) y 52.n) y o) infracciones relacionadas con el incumplimiento
de las referidas notificaciones, careciendo del grado de certeza exigible en la
tipificación legal de las mismas.
179.- En la letra c) del apartado 3 del artículo 32 APLO, (“Comunicación
de una violación de la seguridad de los datos personales al interesado”), se
sugiere acotar o delimitar la referencia a la «publicación en el boletín oficial
correspondiente», equivalente a la «comunicación pública o una medida
semejante mediante la cual se informe a los interesados de manera
igualmente efectiva» a que se refiere el artículo 31.3,c) de la Directiva.
180.- Como mejora de técnica legislativa, en el apartado 5 del artículo 32
APLO podría resultar conveniente remitir al “apartado 1” del artículo 17, de
manera análoga, asimismo, a la forma en que se efectúa la remisión en el
artículo 31.5 de la Directiva, que remite a los motivos que se contemplan en
el artículo 13, “apartado 3”.
181.- El Capítulo VI del Anteproyecto se dedica a las «[a]utoridades de
protección de datos» que constituyen la necesaria garantía de control
institucional del derecho.
182.- A lo largo del texto proyectado, por ejemplo en los artículos 2.7.e), 3,
38.2 y 3, 42.1.i) se utiliza la denominación de «autoridad de control», que es
la misma utilizada en el artículo 3.15 de la Directiva y 3.21 RGPD como
autoridad pública independiente establecida por un Estado miembro con
arreglo a lo dispuesto, respectivamente, en el artículo 41 de la Directiva y 51
RGPD, sin que el Reglamento ni la Directiva, recojan referencia alguna a las
«autoridades de protección de datos». En particular, el apartado 1 del artículo
3 del Anteproyecto declara de aplicación «a los efectos de esta ley orgánica»,
entre otras, la definición de autoridad de control tal y como se establece en
el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27
de abril de 2016.
183.- Por ello, ha de llamarse la atención sobre la cierta confusión derivada
de la utilización en el Anteproyecto de ambas denominaciones, sugiriendo al
prelegislador la debida clarificación al respecto, por ejemplo, mediante la
utilización de la denominación recogida en la norma que se transpone.
![Page 63: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/63.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 63
184.- La Directiva dedica su Capítulo VI, artículos 41 a 49, a las
«[a]utoridades de control independientes» estableciendo en el apartado 1 del
artículo 41 que cada Estado miembro dispondrá que sea responsabilidad de
una o varias autoridades públicas independientes supervisar la aplicación de
la Directiva, con el fin de proteger los derechos y las libertades fundamentales
de las personas físicas en lo que respecta al tratamiento de sus datos
personales y de facilitar la libre circulación de datos personales en la Unión
(en lo sucesivo, «autoridad de control») y señalando en el apartado 3 que
«Estados miembros podrán disponer que una autoridad de control creada en
virtud del Reglamento (UE) 2016/679 pueda ser la autoridad de control
mencionada en la presente Directiva y asuma la responsabilidad de las
funciones de la autoridad de control que vayan a crearse de conformidad con
el apartado 1 del presente artículo», permitiendo así que el legislador
nacional, a la hora de abordar la transposición de la Directiva, pueda optar
entre crear una autoridad de control específica para fines penales o atribuir
estas funciones de control de esta clase de datos con relevancia penal a la
autoridad general encargada de la protección de datos.
185.- Respetando la exigencia del carácter público e independiente de la
autoridad, el prelegislador ha optado por atribuir esta condición a la Agencia
Española de Protección de Datos y a las autoridades autonómicas de
protección de datos, exclusivamente en relación a aquellos tratamientos de
los que sean responsables en su ámbito de competencia, y conforme a lo
dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018 de 5 de diciembre
(artículo 41 del Anteproyecto), de forma que estas autoridades, encargadas
de la vigilancia y control del uso de los datos personales en cualquier campo
o actividad vienen a asumir, igualmente, las funciones de control y
supervisión del tratamiento de los datos personales llevados a cabo por las
autoridades competentes con fines de prevención, detección, investigación o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
así como de protección y de prevención frente a las amenazas contra la
seguridad pública.
186.- Resultando legítimo el modelo de control institucional por el que opta
el Anteproyecto, deben tenerse en cuenta, junto a la especialidad de la
materia objeto de la actividad de supervisión, otras cuestiones como la
habilitación para el ejercicio indirecto de derechos fundamentales, la
importancia de las funciones de supervisión y control que va a desarrollar la
autoridad de control en relación con el tratamiento de datos personales con
fines penales, que a su vez viene acompañada de la atribución de importantes
![Page 64: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/64.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 64
poderes, en palabras del artículo 47 de la Directiva, o potestades, según el
artículo 43 del Anteproyecto, que abarcan desde la «investigación, incluyendo
el acceso a todos los datos que estén siendo tratados por el responsable o
encargado del tratamiento» hasta el control, que incluye la posibilidad de
impartir órdenes de rectificación o supresión de datos o de limitación o
prohibición del tratamiento.
187.- De lo expuesto resulta que nos encontramos ante unas autoridades de
control cuyo ámbito competencial o de actuación, al que se refiere el artículo
57 RGPD, al que remite el artículo 47 de la LO 3/2018, se va a ver
notablemente ampliado, en un ámbito muy específico, dada la finalidad del
tratamiento y los riesgos que para el derecho fundamental entrañan estos
datos, a la par acompañado de la habilitación para el ejercicio indirecto de
derechos fundamentales junto con unos poderes o potestades de gran
amplitud lo que exige, en nuestro parecer, que el marco legal proyectado
incorpore las debidas cautelas, entre las que han de destacar la necesaria
especialización y el reforzamiento del deber de secreto profesional.
188.- En cuanto a la necesaria especialización, al no optar el prelegislador,
como permite la Directiva, por la constitución de una autoridad específica
para el control y supervisión del tratamiento de los datos con fines penales,
resultaría sumamente conveniente la incorporación al texto proyectado de la
necesidad de que las autoridades de protección de datos cuenten con
unidades específicas para el ejercicio de las competencias y funciones
derivadas de la Directiva, dotadas de suficientes garantías para proteger los
derechos y las libertades fundamentales de las personas físicas en lo que
respecta al tratamiento de sus datos personales efectuado por las autoridades
competentes con fines de prevención, detección, investigación o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
así como de protección y de prevención frente a las amenazas contra la
seguridad pública.
189.- En este sentido, cabe señalar que en Portugal se ha optado por crear
una unidad específica dentro de la Comissão Nacional de Protecção de Dados
(CNPD) en los términos que prevé el artículo 43 de la Lei 59/2019. De acuerdo
con el referido precepto, a los efectos del ejercicio de las funciones de
autoridad de control respecto de los tratamientos objeto de la Directiva, la
CNPD se integra por un magistrado, designado por el Consejo Superior de la
Magistratura, y por un miembro del Ministerio Fiscal, designado por el
Consejo Superior del Ministerio Público, que ejercerán en exclusividad, sin
perjuicio de las competencias del presidente de la CNPD, el ejercicio de la
![Page 65: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/65.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 65
funciones de la CNPD que impliquen acceso a los datos objeto de tratamiento
o a los registros de operaciones de tratamiento.
190.- Por lo que respecta al deber de secreto profesional, resulta
especialmente remarcado en el artículo 44.2 de la Directiva al disponer que:
«El miembro o miembros y el personal de cada autoridad de control
estarán sujetos, conforme al Derecho de la Unión o del Estado
miembro, al deber de secreto profesional, tanto durante su mandato
como después del mismo, con relación a las informaciones
confidenciales de las que hayan tenido conocimiento en el
cumplimiento de sus funciones o el ejercicio de sus poderes. Durante
su mandato, este deber de secreto profesional se aplicará en particular
a la información que faciliten las personas físicas sobre infracciones de
la presente Directiva.»
191.- A fin de dar cumplimiento a dicho mandato, teniendo en cuenta la
especialidad de la materia objeto de la actividad de supervisión y,
especialmente, la habilitación para el ejercicio indirecto de derechos
fundamentales y la potestad de investigación que se atribuye a las
autoridades de control, que incluye, como dispone el artículo 43,a) APLO «el
acceso a todos los datos que estén siendo tratados por el responsable o
encargado del tratamiento», han de incorporarse al texto proyectado, con
carácter general, las necesarias previsiones en relación con el deber de
secreto profesional y, en particular, con la información que faciliten las
personas físicas sobre infracciones de la regulación recogida en el texto
proyectado, lo que ha de ponerse en conexión con la Directiva (UE)
2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,
relativa a la protección de las personas que informen sobre infracciones del
Derecho de la Unión y la jurisprudencia del Tribunal de Justicia, cuyo plazo
de transposición, señala el artículo 26 de la misma, que finalizará el 17 de
diciembre de 2021 (con excepción de algunas previsiones, como la obligación
de establecer canales de denuncia interna en las entidades jurídicas del sector
privado que tengan de 50 a 249 trabajadores, cuyo plazo de transposición se
difiere hasta el 17 de diciembre de 2023).
192.- El deber de secreto profesional al que se refiere el transcrito artículo
44.2 de la Directiva, aplicable a todo el personal de cada autoridad de control,
no puede resultar equivalente a la obligación profesional de confidencialidad
exigida a las personas autorizadas para tratar datos personales, a que se
refiere el artículo 22.3.b), resultando sumamente conveniente la
![Page 66: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/66.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 66
incorporación al Anteproyecto, además de la necesaria regulación específica
de este deber, la determinación de sanciones disciplinarias específicas que
refuercen, frente al ciudadano, el deber de sigilo que pesa sobre quienes
tengan conocimiento por razón de su cargo de los datos a que se refiere el
Anteproyecto, asegurando al máximo, en los límites de lo jurídicamente
posible, la efectividad del deber de secreto profesional.
193.- Asimismo, tal y como se ha expuesto más arriba, debe incorporarse a
este artículo del Anteproyecto una cláusula de salvaguarda de las funciones
del Consejo General del Poder Judicial como autoridad de control, así como
para el caso de que se opte por la creación de un organismo específico para
el Ministerio Fiscal.
c) Previsiones en materia sancionadora
194.- El estudio de capítulo VIII del Anteproyecto, dedicado al régimen
sancionador, parte de la libertad de configuración conferida al legislador
nacional en el artículo 57 y Considerando 89 de la Directiva.
195.- Como señala la Exposición de Motivos “[e]l capítulo VIII regula el
régimen sancionador aplicable ante incumplimientos de las obligaciones
previstas en esta ley orgánica. Se definen los sujetos sobre los que recaerá
la responsabilidad por las infracciones cometidas. Asimismo, se determinan
las normas de conflicto para resolver los casos en los que un hecho pueda
ser calificado con arreglo a dos o más normas. Se tipifican las infracciones,
que, en función de su gravedad, podrán ser leves, graves o muy graves. Y se
establecen las sanciones que se pueden imponer, y se fijan los plazos de
prescripción tanto de las infracciones como de las sanciones y de caducidad.”
196.- Desde la STC 18/1981, de 8 de junio, FJ 2, el Tribunal Constitucional
viene reiterando la aplicabilidad de las garantías contenidas en el artículo
24.2 CE a los procedimientos administrativos sancionadores, en tanto que
manifestación del ius puniendi del Estado, con las matizaciones que resulten
del equilibrio entre su propia naturaleza y de la necesidad de preservar los
valores esenciales que se encuentran en la base de dicho precepto y la
seguridad jurídica que garantiza el art. 9.3 CE (entre muchas, SSTC 44/1983,
de 24 de mayo, FJ 3; 28/1989, de 6 de febrero, FJ 6; 3/1999, de 25 de enero,
FJ 4; 117/2002, de 20 de mayo, FJ 5; 205/2003, de 1 de diciembre, FJ 3;
![Page 67: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/67.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 67
35/2006, de 13 de febrero, FJ 3; 272/2006, de 25 de septiembre, FJ 2;
70/2008, de 23 de junio, FJ 4, y 82/2009, de 23 de marzo, FJ 3).
197.- El prelegislador ha venido a configurar gran parte de los tipos
infractores recogidos en los artículos 50, 51 y 52 del Anteproyecto
utilizando conceptos jurídicos que podrían calificarse de abiertos o adolecer
de la suficiente concreción como “las medidas de seguridad adecuadas”,
“medidas técnicas y organizativas que resulten apropiadas”, “grave perjuicio
para los derechos y libertades de los interesados” que resultan contrarios a
la taxatividad y certeza que demanda el Derecho sancionador.
198.- Así, y sin perjuicio de las observaciones ya formuladas a lo largo del
presente informe, deben ser objeto de revisión, al no ajustarse a los
parámetros que demanda el Derecho sancionador, los siguientes tipos
infractores recogidos en el Anteproyecto: el artículo 50.a) que tipifica “[e]l
tratamiento de datos personales que vulneren gravemente los principios y
garantías establecidos en el artículo 4”, por cuanto el artículo 4 únicamente
trata de principios y no de garantías; el artículo 50.k) del Anteproyecto
que tipifica como infracción muy grave “[l]a vulneración del deber de
confidencialidad establecido en el artículo 23”, sin que el artículo 23
establezca deber de confidencialidad alguno; el artículo 50.n) que tipifica
como infracción muy grave “[l]La adopción de decisiones individuales
automatizadas sin las garantías señaladas en el artículo 12”, sin que el
artículo 12 determine debidamente cuales son éstas garantías; los artículos
50.g), 51.g) y 51.j) y 52.a) que tipifican diferentes infracciones
relacionadas con la falta de adopción o incumplimiento de las medidas
técnicas y organizativas exigibles; los artículos 50.p) y 52.n) y o) que
tipifican infracciones relacionadas con el incumplimiento de las notificaciones
a que se refiere el artículo 32.1 que deja en manos del responsable del
tratamiento la valoración de cuándo una violación de la seguridad de los datos
personales supone “un alto riesgo para los derechos y libertades de las
personas físicas”; los artículos 51.a) y 52.c) que tipifican como infracción
grave y leve, respectivamente, “[e]l incumplimiento de los plazos de
conservación exigibles en virtud del artículo 6”, en tanto el artículo 6 no
determina dichos plazos; el artículo 51.p) que se refiere de manera
cumulativa -y no alternativa- a las acciones de “acceso, cesión, alteración y
divulgación de los datos”; el artículo 52.a) al tipificar la infracción en base
al concepto jurídico indeterminado de “debida diligencia”.
![Page 68: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/68.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 68
199.- Igualmente, los apartados f) y l) del artículo 50 del Anteproyecto,
deberían ser objeto de revisión, por cuanto, al margen de las carencias
observadas en relación al contenido y redacción del artículo 11 APLO, parecen
querer sancionar el mismo tipo infractor, al tipificar, respectivamente, como
infracción muy grave las siguientes conductas:
«f) El tratamiento de datos personales de las categorías especiales sin
que concurra alguna de las circunstancias previstas en el artículo 11.
l) La recogida y el tratamiento de categorías especiales de datos de
carácter personal al margen de los casos previstos en el artículo 11.»
200.- De lo expuesto deriva la necesidad de revisar los tipos infractores
propuestos a fin de adecuarlos a la doctrina del Tribunal Constitucional que,
respecto a las garantías del derecho a la legalidad sancionadora, ha
establecido en la STC 242/2005, de 10 de octubre, en cuanto a que la
garantía material «aparece derivada del mandato de taxatividad o de lex
certa y se concreta en la exigencia de predeterminación normativa de las
conductas ilícitas y de las sanciones correspondientes, que hace recaer sobre
el legislador el deber de configurarlas en las leyes sancionadoras con la mayor
precisión posible para que los ciudadanos puedan conocer de antemano el
ámbito de lo proscrito y prever, así, las consecuencias de sus acciones. En
consecuencia, continúa, la garantía material implica que la norma punitiva
permita predecir con suficiente grado de certeza las conductas que
constituyen infracción y el tipo y grado de sanción del que puede hacerse
merecedor quien la cometa, lo que conlleva que no quepa
constitucionalmente admitir formulaciones tan abiertas por su amplitud,
vaguedad o indefinición, que la efectividad dependa de una decisión
prácticamente libre y arbitraria del intérprete y juzgador (por todas, SSTC
100/2003, de 2 de junio, FJ 2, y 26/2005, de 14 de febrero, FJ 3)».
201.- El artículo 53 del Anteproyecto, bajo la rúbrica “[s]anciones”,
señala que:
«Por la comisión de las infracciones tipificadas en esta ley orgánica se
impondrán las siguientes sanciones:
1. En caso de que el sujeto responsable sea algunos de los enumerados
en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, se
impondrán las sanciones y se adoptarán las medidas establecidas en
dicho artículo.
2. En caso de que el sujeto infractor sea distinto de los señalados en
el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, podrá
ser sancionado, además, con multa de la siguiente cuantía: […]»
![Page 69: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/69.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 69
202.- Debe destacarse que el artículo 77 de la LO 3/2018 se refiere al
régimen aplicable a determinadas categorías de responsables o encargados
del tratamiento, incluyendo el apartado 1 de dicho precepto a los órganos
constitucionales o con relevancia constitucional y las instituciones de las
comunidades autónomas análogas a los mismos; los órganos jurisdiccionales;
la Administración General del Estado, las Administraciones de las
comunidades autónomas y las entidades que integran la Administración
Local; los organismos públicos y entidades de Derecho público vinculadas o
dependientes de las Administraciones Públicas; las autoridades
administrativas independientes; el Banco de España; las corporaciones de
Derecho público cuando las finalidades del tratamiento se relacionen con el
ejercicio de potestades de derecho público; las fundaciones del sector
público; las Universidades Públicas; los consorcios y los grupos
parlamentarios de las Cortes Generales y las Asambleas Legislativas
autonómicas, así como los grupos políticos de las Corporaciones Locales.
203.- Atendido el contenido del artículo 77 de la LO 3/2018, se sugiere
modificar la redacción del artículo 53 APLO declarando que en caso de que el
sujeto responsable sea algunos de los enumerados en el artículo 77.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, será de aplicación lo dispuesto en
dicho precepto, debiendo aclarar y concretar debidamente el significado del
adverbio “además” incorporado al apartado 2 del precepto proyectado.
204.- En el artículo 54 APLO, “[p]rescripción de las infracciones y
sanciones”, si bien se mantienen los plazos de prescripción de las sanciones
recogidos en el apartado 1 del artículo 30 de la Ley 40/2015, se modifican
los plazos de prescripción de las infracciones establecidos en el citado
precepto básico.
205.- A pesar de que el artículo 30.1 LRJSP habilita a la normativa sectorial
a introducir modificaciones al señalar que «[l] Las infracciones y sanciones
prescribirán según lo dispuesto en las leyes que las establezcan», resultaría
conveniente que la MAIN explicara la razón de ser de esta modificación,
complementando la afirmación de que «[…] se regulan los supuestos de la
prescripción de infracciones y sanciones, partiendo de la exigencia
constitucional del conocimiento de los hechos que se imputan a la persona y
de la notificación formal de la sanción» (página 24 de la MAIN).
![Page 70: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/70.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 70
206.- A diferencia del artículo 132 de la hoy derogada Ley 30/1992, de 26
de noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común, que al tratar del inicio del cómputo de
la prescripción no recogía mención alguna a las infracciones permanentes o
continuadas, el apartado 2 del artículo 30 de la LRJSP se refiere
expresamente a ellas señalando que “[e]n el caso de infracciones continuadas
o permanentes, el plazo comenzará a correr desde que finalizó la conducta
infractora”.
207.- El segundo párrafo del apartado 1 del artículo 54 APLO establece que:
«Los plazos señalados en esta Ley se computarán desde el día en que se haya
cometido la infracción. No obstante, en los casos de infracciones continuadas
y de infracciones de efectos permanentes, los plazos se computarán,
respectivamente, desde el día en que se realizó la última infracción y desde
que se eliminó la situación ilícita.»
208.- El dies a quo establecido para las infracciones de efectos permanentes,
desde que se eliminó la situación ilícita, se entiende acorde con la
Jurisprudencia del Tribunal Supremo al hilo de infracciones consistentes en la
constancia de datos personales incorporados o mantenidos ilícitamente en
ficheros o registros, en las que el plazo de prescripción no empezará a
computarse mientras la infracción (esto es, la anotación) siga vigente, por
todas, Sentencias de la Sala Tercera del Tribunal Supremo de 23 de mayo de
2011 (ECLI:ES:TS:2011:2954) y de 29 de mayo de 2019, recurso de casación
1857/2018 (ECLI:ES:TS:2019:1709) y Sentencia de la Sala Primera del
Tribunal Supremo 596/2019, de 7 de noviembre, recurso de casación
5883/2018 (ECLI:ES:TS:2019:3524).
209.- Se sugiere modificar la redacción del párrafo cuarto del apartado 1
del artículo 54 APLO a fin de determinar, con la debida concreción, el
órgano administrativo al que se hace mención.
210.- A fin de favorecer la claridad de las normas y el principio de seguridad
jurídica, aun cuando pueda deducirse que en lo no previsto en el régimen
sancionador específico recogido en la norma proyectada se aplicará el
régimen general, podría resultar conveniente la incorporación de una
remisión o previsión de supletoriedad de lo dispuesto en las Leyes 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico
del Sector Público.
![Page 71: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/71.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 71
d) Consideraciones de índole técnico-legislativa
211.- Expuestos aquellos preceptos del texto proyectado que adolecen de
calidad suficiente para dar cumplimiento al mandato de reserva de ley
establecido en el artículo 53.1 de la Constitución, por no concretar con la
debida precisión o certeza las injerencias en el derecho fundamental afectado,
así como lo relativo al principio de legalidad en materia sancionadora;
atendiendo al principio de colaboración entre los órganos constitucionales, se
ha de hacer seguidamente referencia a cuestiones de técnica legislativa o de
orden terminológico, con el fin de contribuir a mejorar la corrección del texto
remitido.
212.- Se sugiere revisar la redacción del párrafo primero del apartado II
de la Exposición de Motivos del APLO en tanto al afirmar que la Decisión
Marco 2008/977/JAI “había sido superada por varias razones” parece omitir
el pronombre relativo “que”.
213.- El párrafo segundo del apartado III de la Exposición de Motivos
hace referencia a los atentados de Bruselas y Niza de 2016, sugiriéndose se
valore la conveniencia de hacer, igualmente, alusión a los atentados de
Madrid del 11 de marzo de 2004 y de Barcelona y Cambrils sufridos en agosto
de 2017 en coherencia con el contenido del Real Decreto 1008/2017, de 1 de
diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2017 y
de la Orden PCI/179/2019, de 22 de febrero, por la que se publica la
Estrategia Nacional contra el Terrorismo 2019, aprobada por el Consejo de
Seguridad Nacional.
214.- En el apartado 5 del artículo 13, el texto proyectado limita la
consideración de solicitud excesiva a aquellas que tengan carácter repetitivo,
a diferencia del artículo 12.4 de la Directiva, por lo que se sugiere la
adecuación de la redacción de dicho apartado a los términos previstos en el
citado precepto de la Directiva.
215.- El artículo 15.4 APLO señala que “[c]uando el interesado elija un
medio distinto al que se le ofrece que suponga un coste desproporcionado, la
solicitud será considerada excesiva, por lo que dicho interesado asumirá el
exceso de coste que su elección comporte”, sugiriéndose la modificación de
la redacción propuesta en orden a clarificar y concretar, debidamente, el
concepto de “exceso de coste”.
![Page 72: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/72.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 72
216.- El apartado 3.b) del artículo 23 del Anteproyecto, al referirse al
contenido mínimo del contrato u otro acto jurídico que ha de disciplinar el
tratamiento por medio de encargado incluye la necesidad de “[g]arantizar
que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación
profesional de confidencialidad”.
217.- Esta referencia ha de ponerse en conexión con el artículo 50.k) del
Anteproyecto que tipifica como infracción muy grave “[l]a vulneración del
deber de confidencialidad establecido en el artículo 23”.
218.- Del contenido del artículo 23.3.b) APLO se desprende que dicho
precepto no establece deber de confidencialidad alguno, debiendo insistir en
la importancia de contar con una regulación específica de un deber reforzado
de confidencialidad, que puede venir dado, bien por la asunción de un
compromiso, bien por una obligación legal, junto con la determinación de
sanciones específicas que aseguren el deber de sigilo que pesa sobre quienes
tengan conocimiento por razón de su empleo de los datos a que se refiere el
Anteproyecto, asegurando al máximo, en los límites de lo jurídicamente
posible, la efectividad del deber de confidencialidad.
219.- En el apartado 1 del artículo 30 APLO se incorpora, nuevamente, una
referencia abierta a la obligación de aplicar “las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado”
que debe entenderse carente de la necesaria concreción y determinación. A
título ejemplificativo podrían traerse a colación lo dispuesto en el artículo 16
de la Decisión 2007/533/JAI del Consejo de 12 de junio de 2007, relativa al
establecimiento, funcionamiento y utilización del Sistema de Información de
Schengen de segunda generación (SIS II) al disponer la necesidad de contar
con las medidas de seguridad adecuadas para:
“a) proteger los datos físicamente, entre otras cosas mediante la
elaboración de planes de emergencia para la protección de
infraestructuras críticas;
b) impedir que toda persona no autorizada acceda a las instalaciones
utilizadas para el tratamiento de datos personales (control en la
entrada de las instalaciones);
c) impedir que los soportes de datos puedan ser leídos, copiados,
modificados o retirados por una persona no autorizada (control de los
soportes de datos);
![Page 73: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/73.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 73
d) impedir que en el fichero se introduzcan sin autorización, o que
puedan conocerse, modificarse o suprimirse sin autorización, datos
personales almacenados (control del almacenamiento);
e) impedir que los sistemas de tratamiento automatizado de datos
puedan ser utilizados por personas no autorizadas por medio de
instalaciones de transmisión de datos (control de los usuarios);
f) garantizar que, para la utilización de un sistema de tratamiento
automatizado de datos, las personas autorizadas solo puedan tener
acceso a los datos que sean de su competencia y ello únicamente con
identificaciones de usuario personales e intransferibles y con modos de
acceso confidenciales (control del acceso);
g) establecer perfiles que describan las funciones y responsabilidades
de las personas autorizadas a acceder a los datos o a las instalaciones
de tratamiento de datos, y poner a disposición del Supervisor Europeo
de Protección de Datos a que se refiere el artículo 61, sin dilación al
recibir la solicitud de este, esos perfiles (perfiles del personal);
h) garantizar la posibilidad de verificar y comprobar a qué autoridades
pueden ser remitidos datos personales a través de las instalaciones de
transmisión de datos (control de la transmisión);
i) garantizar que pueda verificarse y comprobarse a posteriori qué
datos personales se han introducido en el sistema de tratamiento
automatizado de datos, en qué momento y por qué persona han sido
introducidos (control de la introducción);
j) impedir, en particular mediante técnicas adecuadas de
criptografiado, que, en el momento de la transmisión de datos
personales y durante el transporte de soportes de datos, los datos
puedan ser leídos, copiados, modificados o suprimidos sin autorización
(control del transporte);
k) vigilar la eficacia de las medidas de seguridad a que se refiere el
presente apartado y adoptar las medidas de organización que sean
necesarias en relación con la supervisión interna, a fin de garantizar el
cumplimiento de la presente Decisión (control interno).”
220.- Al mismo tiempo, se valora positivamente la referencia al cumplimiento
de las medidas incluidas en el Esquema Nacional de Seguridad, creado por el
artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los
![Page 74: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/74.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 74
ciudadanos a los servicios públicos, buscando establecer los principios básicos
y requisitos mínimos requeridos para una protección adecuada de la
información, con la finalidad de afianzar la confianza en el uso de los medios
electrónicos, a través de medidas para garantizar la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios electrónicos, que
permita a los ciudadanos y a las Administraciones públicas, el ejercicio de
derechos y el cumplimiento de deberes a través de estos medios. Se
encuentra regulado en el Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica, modificado por el Real Decreto 951/2015, de 23 de octubre.
221.- La redacción del apartado 1 del artículo 38, que se corresponde con
el artículo 37.1 de la Directiva, ha de adecuarse a la naturaleza y finalidad
del texto proyectado, eliminando en consecuencia la referencia a “los Estados
miembros”.
222.- La función de “[i]nformar todas las disposiciones legales o
reglamentarias que afecten a tratamientos sometidos a esta ley orgánica” a
que se refiere la letra m) del artículo 42.1 del Anteproyecto, prevista en
el artículo 28.2 de la Directiva, deberá ser tenida en cuenta en la futura
tramitación de las normas, prevista en los artículos 127 y siguientes de la Ley
39/2015 y en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del
Gobierno y en la correspondiente normativa autonómica.
223.- La disposición adicional segunda APLO, rubricada “[f]icheros y
Registro de Población de las Administraciones Públicas”, señala que:
“1. Las autoridades competentes podrán solicitar al Instituto Nacional
de Estadística, sin consentimiento del interesado, una copia actualizada
del fichero formado con los datos del nombre, apellidos, domicilio, sexo
y fecha de nacimiento que constan en los padrones municipales de
habitantes y en el censo electoral correspondientes a los territorios
donde ejerzan sus competencias.
2. Los datos obtenidos tendrán como único propósito el cumplimiento
de los fines de prevención, detección, investigación o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales, así como
de protección y de prevención frente a las amenazas contra la
seguridad pública y la comunicación de estas autoridades con los
interesados residentes en los respectivos territorios, respecto a las
![Page 75: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/75.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 75
relaciones jurídico-administrativas derivadas de las competencias
respectivas.”
224.- Conforme a la Resolución de 28 de julio de 2005, de la Subsecretaría
del Ministerio de la Presidencia por la que se da publicidad al Acuerdo del
Consejo de Ministros, de 22 de julio de 2005, por el que se aprueban las
Directrices de técnica normativa, las disposiciones adicionales “podrán
incorporar las reglas que no puedan situarse en el articulado sin perjudicar
su coherencia y unidad interna”, por lo que se sugiere valorar la conveniencia
de su incorporación al articulado (por ejemplo en el propio artículo 5 o tras el
mismo), junto con la necesidad de abordar en la MAIN referencia y explicación
sobre el contenido de la misma.
225.- En cuanto al apartado 2 de la disposición adicional segunda se sugiere
delimitar correctamente la referencia a “estas autoridades”, que parece aludir
a las autoridades competentes definidas en el artículo 2.3 del Anteproyecto,
así como la posibilidad de utilización de los datos obtenidos para “la
comunicación de estas autoridades con los interesados residentes en los
respectivos territorios, respecto a las relaciones jurídico-administrativas
derivadas de las competencias respectivas”.
226.- El Anteproyecto carece de disposición derogatoria, déficit que debe ser
corregido.
227.- La disposición final sexta del Anteproyecto modifica la rúbrica y el
contenido del artículo 69 de la Ley 5/2014, de 4 de abril, de Seguridad Privada
incorporando, entre otros extremos, un nuevo apartado 1 del siguiente tenor
literal:
“1. El ejercicio de la potestad sancionadora en materia de seguridad
privada se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre,
del Procedimiento Administrativo Común de las Administraciones
Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del
Sector Público y sus disposiciones de desarrollo, sin perjuicio de las
especialidades que se regulan en este título.”
228.- Como ha destacado el Consejo de Estado en diversos dictámenes, por
ejemplo en el dictamen 319/2018, de 21 de junio, “ninguna de estas leyes
tiene desarrollo reglamentario, ni está previsto que lo tenga en el ámbito
sancionador”, habiendo incorporado la Ley 39/2015, de 1 de octubre, las
especialidades sobre el procedimiento sancionador que recogía el Reglamento
para el ejercicio de la potestad sancionadora, aprobado por Real Decreto
![Page 76: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/76.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 76
1398/1993, de 4 de agosto, que se encuentra derogado, por lo que se sugiere
la supresión de la referencia a las disposiciones de desarrollo.
229.- Las páginas 26 a 30 de la MAIN recogen una tabla de
correspondencia entre los preceptos de la Directiva y su correspondiente
transposición en los artículos del anteproyecto de ley orgánica, sugiriéndose
la revisión de dicha tabla al haberse observado divergencia con algunos de
los preceptos del texto remitido, (por ejemplo, artículo 53 APLO, disposición
adicional “única”, etc.).
e) Propuesta de modificación de los artículos 236 bis a 236 decies
LOPJ
230.- Más allá de la puntual modificación en el artículo 236 bis LOPJ
propuesta más arriba, el Anteproyecto constituye una buena oportunidad
para realizar una mínima actualización del contenido de la regulación del
capítulo I bis del Título III del Libro II de la LOPJ y adecuarlo a la normativa
vigente.
231.- Así, deberían sustituirse las referencias a la Ley Orgánica 15/1999 por
la referencia, más genérica, a la normativa o la legislación en materia de
protección en los artículos 236 quater, párrafo segundo; 236 sexies, apartado
1; y, 236 nonies, apartado 1.
232.- El artículo 236 quater, primer párrafo, excluye el consentimiento como
base jurídica para el tratamiento de datos con fines jurisdiccionales «De
conformidad con lo dispuesto en el artículo 11.2 de la Ley Orgánica 15/1999,
de 13 de diciembre». Resulta necesario suprimir este inciso del precepto,
manteniendo el resto del párrafo. En efecto, de acuerdo con lo previsto en el
RGPD, la base jurídica que ampara la licitud del tratamiento de datos con
fines jurisdiccionales es la prevista en el artículo 6.1.e) RGPD que habilita el
tratamiento de datos necesario para el cumplimiento de una misión realizada
en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Asimismo, en relación con esta base jurídica, el artículo 9.2.f) RGDP habilita
el tratamiento de las categorías especiales de datos cuando los tribunales
actúen en ejercicio de su función judicial.
233.- En el artículo 236 sexies, apartado 2, in fine, la referencia a la
responsabilidad disciplinaria derivada de la comisión de una infracción en
materia de protección de datos «a la que se refiere el artículo 46.2 de la Ley
![Page 77: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/77.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 77
Orgánica 15/1999, de 13 de diciembre» debe actualizarse remitiéndose «a la
que se refiere el artículo 77.2 de la Ley Orgánica 3/2018, de 1 de diciembre».
234.- Por otro lado, las menciones que se contienen en los artículos 236 bis
a 236 decies a los «ficheros» deben ser sustituidas por «tratamientos». en
los artículos 236 ter, apartado 2, en sus dos párrafos; artículo 236 sexies,
apartado 1, en sus dos párrafos, y apartado 3; artículo 236 octies, apartado
2.
235.- El contenido del artículo 236 septies relativo a la creación, modificación
y supresión de ficheros de los tribunales debería ser suprimido. En su lugar,
sería muy conveniente regular en la LOPJ las obligaciones y responsabilidades
que corresponden a las administraciones prestacionales en el ámbito de la
seguridad de los datos personales objeto de tratamiento mediante los
sistemas de gestión procesal y demás programas y aplicaciones al servicio de
la Administración de Justicia.
236.- El artículo 33.5 LOPDGDD prevé la posibilidad de que, en el ámbito del
sector público, puedan atribuirse las competencias propias de un encargado
del tratamiento a un órgano de la Administración General del Estado o de las
comunidades autónomas a través de la adopción de una norma reguladora
de dichas competencias. En este sentido, el artículo 236 septies LOPJ puede
ser el lugar idóneo para el establecimiento de las obligaciones que
corresponden a las Administraciones con competencias en materia de
administración de la Administración de Justicia en tanto que encargados del
tratamiento de datos tanto con fines jurisdiccionales como con fines no
jurisdiccionales. Así, algunas de las obligaciones que en la normativa general
se atribuyen al responsable del tratamiento, respecto de los tratamientos de
datos en el ámbito de la Administración de Justicia, resultan claramente fuera
del alcance de los órganos jurisdiccionales y de las oficinas judiciales, como
responsables del tratamiento ex artículo 236 sexies.1 LOPJ, tales como el
análisis de riesgos, las evaluaciones de impacto o la protección de datos
desde el diseño y por defecto, o el establecimiento de registro de operaciones,
por lo que resulta pertinente atribuir a las administraciones prestacionales el
desarrollo de estas medidas de seguridad de los datos en relación con los
medios técnicos e informáticos que ponen a disposición de juzgados y
tribunales.
237.- Cabe señalar la conveniencia de dar nueva redacción al artículo 236
octies.1 LOPJ con el fin de acomodar la nomenclatura de los derechos a la
![Page 78: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/78.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 78
normativa vigente. Así, en lugar de «los derechos de acceso, rectificación,
cancelación y oposición en relación con los datos tratados con fines
jurisdiccionales» debería hacerse referencia a «los derechos de acceso,
rectificación, supresión y limitación del tratamiento en relación con los datos
tratados con fines jurisdiccionales».
238.- Finalmente, en esta necesaria labor de actualización de los artículo 236
bis y siguientes de la LOPJ, debe también modificarse el artículo 236 decies
LOPJ referido a los tratamiento de datos del Consejo General del Poder
Judicial, eliminado todo lo referente a la creación, modificación y supresión
de los ficheros, por las razones ya expuestas, manteniendo, en todo caso, la
consideración de la Secretaría General de este órgano constitucional como
responsable de los tratamientos realizados en el ejercicio de las competencias
del Consejo.
VI. CONCLUSIONES
PRIMERA.- El marco normativo a tener presente en el anteproyecto objeto
del presente informe viene delimitado, de un lado, en un plano de primacía,
por los artículos 7 y 8 CDFUE (que tiene el mismo valor jurídico que los
Tratados), el RGPD, las Directivas y la jurisprudencia del TJUE y del TEDH,
en la medida en que aquel se remita a este; y de otro, por el Ordenamiento
interno español, comenzando por el artículo 18.1 y 4 CE y la doctrina del
Tribunal Constitucional.
SEGUNDA. - Conforme al artículo 63 de la Directiva (UE) 2016/680, el plazo
de transposición de la misma finalizó el 6 de mayo de 2018; lo que debería
llevar a una futura reflexión sobre los tiempos de transposición de Directivas
a nuestro Ordenamiento interno, a fin de abordar esta importante y necesaria
función sin precipitación, de manera ordenada y con el sosiego deseable para
obtener el mejor de los resultados.
TERCERA. - La confusión de planos entre el objeto propio de la reserva de
ley orgánica del artículo 81.1 CE y ordinaria del artículo 53.1 CE se aprecia
en el artículo 1.1 del Anteproyecto. Según dice, «[e]sta ley orgánica tiene
por objeto regular el derecho fundamental, reconocido por el artículo 18.4 de
la Constitución […]». Este enunciado no es correcto ya que lo que la iniciativa
examinada se propone es, por un lado, el desarrollo con rango de ley orgánica
![Page 79: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/79.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 79
del artículo 18.4 CE, pero solo con respecto a una determinada categoría de
tratamientos, y por otro, la regulación, a través de normas con rango de ley
ordinaria, de su ejercicio en ese mismo ámbito. Por consiguiente, este
Consejo considera que ha de reformularse debidamente.
CUARTA. - El apartado 2 del artículo 1 APLO establece una relación entre
la LOPDGDD y el presente anteproyecto sobre la base del principio de
especialidad. Aunque en un primer análisis, podría considerarse que no se
compadece con el principio de separación que establece el artículo 2.2.d
RGPD, que excluye la aplicación del Reglamento a los datos personales
tratados por las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, incluidas la protección y la prevención frente
a las amenazas contra la seguridad pública, exclusión que ha sido recogida
en el artículo 2.2.a de la LOPDGDD, en un análisis más detenido, cabe
considerar que en el marco de la transposición de la Directiva la norma
nacional puede establecer como supletoria la normativa interna de adaptación
del RGPD, con el límite de que esa aplicación supletoria no contradiga o
desvirtúe los establecido en la Directiva. Ahora bien, el precepto atribuye un
amplísimo margen de apreciación al aplicador a quien corresponde
determinar si el resultado de la aplicación de la LOPDGDG, como norma
supletoria, es contrario o no a tales fines.
QUINTA. - La redacción del apartado 2 del artículo 2 del Anteproyecto
debe cohonestarse con el artículo 22.6 LOPDGDG en el sentido de incorporar
como norma supletoria junto al RGPD la LOPGDG.
SEXTA.- No resulta clara la determinación del conjunto normativo aplicable
a la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para
grabar imágenes y sonidos en lugares públicos, abiertos o cerrados, y su
posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana,
la erradicación de la violencia y la utilización pacífica de las vías y espacios
públicos, así como de prevenir la comisión de delitos, faltas e infracciones
relacionados con la seguridad pública, actualmente regulado por la Ley
Orgánica 4 /1997, de 4 de agosto, y el Real Decreto 596/1999, de 16 de abril.
La Agencia Española de Protección de Datos ha venido sosteniendo que
resulta supletoriamente aplicable el RGPD, por lo que constituiría un
tratamiento con fines de videovigilancia que caería fuera del ámbito de la
Directiva 2016/679. El prelegislador debería introducir la precisión necesaria
sobre este aspecto en el artículo 2.2 del Anteproyecto.
![Page 80: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/80.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 80
SÉPTIMA.- Respecto de la utilización de cámaras y videocámaras para el
control, regulación, vigilancia y disciplina de tráfico debería establecerse
algún criterio objetivo y accesible, más allá de la referencia a los fines del
tratamiento, que delimite claramente cuando el uso de cámaras en el
contexto del control y vigilancia del tráfico queda sujeto a su normativa
específica (Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se
aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a
Motor y Seguridad Vial) y supletoriamente al RGPD y la LOPDGDG y cuando
resultará de aplicación la Directiva 2016/680 y la ley orgánica de
transposición.
OCTAVA. - El artículo 2.3 APLO recoge la definición de autoridad
competente conforme a la recogida en el artículo 3.7),a) de la Directiva,
advirtiéndose por ello la improcedencia de la remisión, efectuada en el
artículo 3 APLO, a la definición de “autoridad competente”, por remisión al
RGPD, que además no incorpora en el listado de definiciones del artículo 4 la
de “autoridad competente”.
NOVENA. - La inclusión genérica, en el artículo 2.3 del Anteproyecto de
toda la Agencia Estatal de Administración Tributaria no parece ajustarse a la
definición de autoridad competente contenida en el artículo 3.7 de la
Directiva, en atención a la amplitud de fines de la Agencia respecto de los
específicos contemplados en la norma europea. La inclusión solo tendría
sentido si se acotara debidamente y, si así se hiciera, habría que hacer los
mismo con las autoridades equivalentes de los territorios forales por virtud
de la Disposición Adicional Primera CE, el EAPV y la LORAFNA.
DÉCIMA.- En el apartado 4 del artículo 2 se sugiere aclarar la referencia
a las infraestructuras críticas a la luz de la Ley 8/2011, de 28 de abril, por la
que se establecen medidas para la protección de las infraestructuras críticas
y, especialmente, de la definición a efectos penales de infraestructura crítica
introducida en el artículo 264.2,4ª del Código Penal por la L.O. 1/2015, de 30
de marzo, al abordar la transposición de la Directiva 2013/40/UE, relativa a
los ataques contra los sistemas de información.
UNDÉCIMA.- En el artículo 2.5 APLO, a partir del marco establecido en la
Directiva, el prelegislador ha optado por dar un tratamiento normativo
específico a la actividad de los órganos jurisdiccionales, consistente en
someter el tratamiento de datos personales con fines jurisdiccionales
efectuado por los órganos judiciales del orden penal a las previsiones
![Page 81: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/81.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 81
específicas en materia de protección de datos contenidas en la Ley Orgánica
del Poder Judicial y a las normas procesales (art. 2.5 y art. 19.2 APLO),
estableciendo la aplicación de la Ley Orgánica proyectada como supletoria en
lo relativo al ejercicio de los derechos regulados en el capítulo III del
Anteproyecto (art. 2.5 in fine y art. 19.3 APLO). El APLO se sitúa, de este
modo, en línea con lo previsto en el artículo 2.4 LOPDGDD.
DECIMOSEGUNDA. - La LOPDGDD y el APLO comparten el mismo
planteamiento en cuanto a la sujeción de los tratamientos con fines
jurisdiccionales a la respectiva normativa de protección de datos. Ambas
parten de la consideración, que debe valorarse positivamente, de que el lugar
natural en el que debe regularse el ejercicio de los derechos de información,
acceso, supresión, oposición y limitación al tratamiento son las respectivas
leyes rituarias que ordenan el proceso. Es la ley procesal la que está en mejor
situación para efectuar la ponderación entre los derechos a la protección de
datos y a la tutela judicial efectiva de las partes y establecer las relaciones
de prevalencia condicionada entre uno y otro en función de los intereses en
juego en cada tipo de trámite en el curso del procedimiento, cohonestando
los principios esenciales del proceso de contradicción, audiencia, igualdad de
armas e interdicción de indefensión con las exigencias de la protección de
datos. En este sentido, se estima acertada la regulación contenida en el
artículo 2.5 del APLO.
DECIMOTERCERA.- El artículo 2.6 del APLO delimita el marco normativo
que debe regir los tratamientos de la fiscalía que caen dentro del ámbito de
aplicación de la Directiva, estableciendo que los tratamientos de la fiscalía
con fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales estaría integrada,
por este orden, por la LOPJ, las leyes procesales penales, lo previsto en el
capítulo III de la LO de transposición de la Directiva, y, por otro lado, por lo
dispuestos en el EOMF. En líneas generales, esta previsión del prelegislador
es conforme con la Directiva y está en línea con el planteamiento de la Fiscalía
General del Estado expresado en la Instrucción núm. 2/2019, sobre la
protección de datos en el ámbito del Ministerio Fiscal: el responsable y el
Delegado de Protección de Datos.
DECIMOCUARTA. - Debe advertirse que la remisión a la LOPJ como norma
reguladora de los tratamientos de datos con fines jurisdicciones llevados a
cabo por el Ministerio Fiscal en el ejercicio de sus funciones constitucionales
tiene como efecto situar este tipo de tratamientos bajo la competencia del
![Page 82: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/82.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 82
Consejo General del Poder Judicial como autoridad de control respecto de los
tratamientos con fines jurisdiccionales (art. 236 nonies.1 LOPJ). Ciertamente,
el artículo 8.3 de la Carta exige, como uno de los contenidos del derecho
fundamental a la protección de datos, el sometimiento de los tratamientos a
una autoridad de control independiente. Por su parte, el Tribunal de Justicia
ha subrayado como elemento esencial de la efectividad del derecho la
garantía de la independencia de la autoridad de control. No cabe duda de que
el CGPJ como autoridad de control cumple los estándares de independencia
exigidos por la jurisprudencia del Tribunal de Justicia. Sin embargo, debe
ponerse de manifiesto que la Instrucción 2/2019 ha señalado, respecto de la
autoridad de control, que, para el tratamiento realizado por el MF en
cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales,
actualmente se contempla la posibilidad de creación de un organismo
específico en el MF que asuma esta función. En este sentido, parece
conveniente que el prelegislador aclare la opción deseada respecto de la
autoridad de control de los tratamientos realizados por el Ministerio Fiscal,
opción que deberá respetar, en todo caso, la garantía de independencia del
órgano por imperativo del artículo 8.3 de la Carta, en los términos
establecidos por la jurisprudencia del Tribunal de Justicia, y el RGPD. Además,
esa opción habría de ponderarse en el contexto de la anunciada reformulación
del proceso penal y de la posición del Ministerio Fiscal para proporcionar a
esta Institución una posición de independencia equiparable a la de otros
países europeos. Todo ello sin olvidar las consideraciones que al respecto hizo
el TJUE en su Sentencia de 27 de mayo de 2019, Fiscalía de Lübeck, sobre
los asuntos acumulados C-508/18) y otros.
DECIMOQUINTA.- Se ha de destacar la ausencia de mención en la
delimitación del ámbito de aplicación del Anteproyecto a los tratamientos
efectuados por el Tribunal de Cuentas, al que corresponde el enjuiciamiento
de la responsabilidad contable en que incurran quienes tengan a su cargo el
manejo de caudales o efectos públicos, constituyendo el enjuiciamiento
contable, jurisdicción propia del Tribunal de Cuentas, necesaria e
improrrogable, exclusiva y plena, que se ejerce respecto de las cuentas que
deban rendir quienes recauden, intervengan, administren, custodien,
manejen o utilicen bienes, caudales o efectos públicos, conforme a lo
dispuesto en la Ley Orgánica 2/1982, de 12 de mayo, del Tribunal de Cuentas
y en la Ley 7/1988, de 5 de abril, de Funcionamiento del Tribunal de Cuentas.
DECIMOSEXTA. - Atendida la discordancia entre la delimitación de los
tratamientos excluidos a que se refieren el párrafo cuarto del apartado IV de
![Page 83: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/83.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 83
la Exposición de Motivos, el artículo 2.7 letra e) APLO y la página 17 de la
MAIN se ha de recordar la necesidad, reiterada por la Jurisprudencia, de que
en esta materia las normas sean claras, precisas y limitadas estrictamente a
lo necesario. Es preciso, por lo tanto, que el Anteproyecto concrete
debidamente los tratamientos de datos personales que quedan fuera del
ámbito de aplicación de la Ley.
DECIMOSÉPTIMA. - La técnica empleada por el artículo 3 del
Anteproyecto para establecer las definiciones resulta incorrecta, pues o bien
se incorporan expresamente las definiciones contenidas en la Directiva
2016/680 o bien se remite a lo establecido en esta norma europea. En el
contexto de transposición de esta Directiva, es erróneo remitir a las
definiciones contenidas en el RGPD, a pesar de la similitud de ambas normas
en cuanto a las definiciones.
DECIMOCTAVA. - En el artículo 4 APLO que regula los “[p]rincipios
relativos al tratamiento de datos personales”, ha de entenderse que el
apartado 4 de este precepto no incorpora debidamente al Derecho español la
previsión establecida en el artículo 4,4 de la Directiva toda vez que ésta exige
al responsable del tratamiento ser “capaz de demostrar el cumplimiento” de
lo dispuesto en el referido precepto.
DECIMONOVENA. - En el artículo 5 APLO, sin equivalente en la Directiva,
referido a la “[c]olaboración con las autoridades competentes”, la referencia
a la exigencia de autorización judicial del apartado 2 resulta inadecuada toda
vez que parece aplicarse únicamente, a las Administraciones públicas y no a
“cualquier persona física o jurídica”. Por lo demás, cabría plantearse si esta
referencia se encuentra incluida en lo dispuesto en el apartado 3 del mismo
precepto, al disponer con carácter general que “[n]o será de aplicación lo
dispuesto en los apartados anteriores cuando, legalmente, sea exigible la
autorización judicial para recabar los datos necesarios a los fines del artículo
1”, por tanto, con carácter general todos aquellos supuestos en los que
resulten afectados o comprometidos derechos fundamentales. En cualquier
caso, la obligación de proporcionar a las autoridades competentes que los
soliciten, los datos, informes, antecedentes y justificantes, a que se refieren
los apartados 1 y 2 del artículo 5.2 APLO no puede conllevar la atribución de
facultades ilimitadas a las referidas autoridades competentes.
VIGÉSIMA. - La dicción del artículo 5.3 del Anteproyecto, al establecer
que no será de aplicación lo dispuesto en los apartados anteriores,
![Page 84: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/84.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 84
aparentemente permitiría comunicaciones masivas de datos o de
interconexiones o volcados de ficheros si se cuenta con autorización judicial.
Debe recordarse que toda injerencia o restricción de un derecho fundamental,
aun judicialmente autorizada, debe respetar el principio de proporcionalidad,
esto es, debe ser idónea, necesaria y proporcionada en relación con un fin
constitucionalmente legítimo. Por ello, es conveniente introducir en el artículo
5.3 del Anteproyecto una expresa referencia al principio de proporcionalidad
como límite que deberá respetar la autorización judicial.
VIGESIMOPRIMERA.- Dado que el artículo 5.5 APLO prevé que, a fin de
garantizar la actividad investigadora, los sujetos a los que el ordenamiento
jurídico imponga un específico deber de colaboración con las autoridades
competentes para el cumplimiento de los fines establecidos en el artículo 1
no informarán al interesado de la transmisión de sus datos a dichas
autoridades, podría valorarse que el incumplimiento de esta obligación
tuviera el debido reflejo en el Capítulo VIII del Anteproyecto dedicado al
régimen sancionador.
VIGESIMOSEGUNDA.- El artículo 6 APLO, con la única excepción del plazo
máximo de revisión periódica -de cinco años-, no da cumplimiento al mandato
establecido en el artículo 5 de la Directiva, que obliga a fijar plazos apropiados
para la supresión de los datos personales, sin que la referencia al tiempo
necesario para cumplir los fines previstos en el artículo 1 pueda resultar
equivalente a la fijación de plazo alguno, ni respetuosa con el principio de
reserva de ley, plazos cuyo incumplimiento se tipifica en el Anteproyecto
como infracción grave y leve (artículos 51,a) y 52,c) APLO). Este precepto
del Anteproyecto debería precisar los plazos apropiados de conservación y
establecer las garantías adecuadas para las normas de procedimiento
garanticen el cumplimiento de dichos plazos, tal y como exige el artículo 5 de
la Directiva.
VIGESIMOTERCERA.- Aun cuando nada disponga al respecto la Directiva,
podría valorarse la inclusión en el Anteproyecto de alguna previsión relativa
a que el almacenamiento, tratamiento y análisis de los datos se lleve a cabo
en lugares seguros dentro del territorio nacional, de manera similar a lo
establecido en el artículo 6.8 de la Directiva (UE) 2016/681 relativa a la
utilización de datos del registro de nombres de los pasajeros (PNR) para la
prevención, detección, investigación y enjuiciamiento de los delitos de
terrorismo y de la delincuencia grave, de manera coherente con lo afirmado
por el TJUE en el caso Digital Rights Ireland ya que el almacenamiento seguro
![Page 85: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/85.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 85
de los datos es un requisito para considerar legítima su conservación,
debiendo interpretar que este concepto comprende las actividades
relacionadas con los servicios de computación en nube, que abarcan toda una
serie de actividades que pueden realizarse según diferentes modelos e
incluyen recursos tales como las redes, servidores u otras infraestructuras,
sistemas de almacenamiento, aplicaciones…, que el proveedor de servicios
en nube podría asignar, en principio, con independencia de la localización
geográfica de los recursos de computación en nube.
VIGESIMOCUARTA. - El Artículo 7 regula la distinción entre diferentes
categorías de interesados Distinción entre categorías de interesados
(personas sospechosas, personas condenadas, víctimas y terceros). En la
transposición del artículo 6 de la Directiva cabe observar el Anteproyecto va
más allá de lo permitido por el precepto del Derecho de la Unión al incluir
también las infracciones relativas a la protección y prevención frente a
amenazas contra la seguridad pública. Debe recordarse que, como expone el
considerando 13 de la Directiva, «una infracción penal en el sentido de lo
dispuesto en la presente Directiva debe ser un concepto autónomo del
Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la
Unión Europea». El prelegislador ha optado por una interpretación extensiva
de infracción penal incluyendo también infracciones administrativas respecto
de la que no se identifica en la MAIN o la exposición de motivos la
jurisprudencia del Tribunal de Justicia que la avala. Por otro lado, en la
categoría de interesados descrita en la letra a del artículo 7 («personas
respecto de las cuales existan motivos fundados para presumir que hayan
cometido o puedan cometer una infracción penal […]») debe tenerse en
cuenta la dimensión extraprocesal de la presunción de inocencia (SSTC
244/2007, de 10 de diciembre, y 133/2018, de 13 de diciembre).
VIGESIMOQUINTA. - La referencia, genérica y abierta, a la adopción por
parte de las autoridades competentes de “todas las medidas razonables” que
recoge artículo 8.2 del Anteproyecto, limitándose a reproducir el mandato
establecido en el artículo 7.2 de la Directiva, no estaría dotada de la necesaria
claridad y precisión al no recoger, ni siquiera indicativamente, unos
parámetros de lo que debe entenderse como integrador del canon de
razonabilidad al que alude. Además, la Directiva en el artículo 7.2 establece
un mandato de no transmitir o poner a disposición de terceros datos
inexactos, incompletos o que no estén actualizados. En cambio, el
Anteproyecto parte de una regla opuesta: permite la transmisión o puesta a
disposición sujeta a la carga de trasladar al destinatario la valoración sobre
![Page 86: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/86.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 86
la calidad, exactitud y actualización, por lo que debe subrayarse que el
prelegislador, en este punto, se sitúa fuera de lo permitido por la norma de
Derecho de la Unión.
VIGESIMOSEXTA. - El artículo 9 APLO que regula la licitud del tratamiento
debe explicitar, en aras de la seguridad jurídica, el requisito de la previa
habilitación legal, en línea con lo previsto en el artículo 8 de la Directiva, y
por exigencia del principio de reserva de ley del artículo 53.1 de la
Constitución.
VIGESIMOSÉPTIMA. - El artículo 11 APLO “[t]ratamiento de categorías
especiales de datos personales” supone una vulneración del principio de
reserva de ley al no recoger de forma precisa los conceptos y parámetros que
legitiman el tratamiento de categorías especiales de datos personales, los
conocidos como datos especialmente sensibles, limitándose a reproducir los
conceptos abiertos recogidos en el artículo 10 de la Directiva. Esta necesidad
de concreción se manifiesta, igualmente en relación con los tipos infractores
recogidos en los apartados f) y l) del artículo 50 del texto proyectado en tanto
remiten, respectivamente, a “las circunstancias” y “casos” previstos en el
artículo 11. A ello ha de añadirse, por lo que respecta a la redacción del
precepto proyectado, la necesidad de adecuar la misma a fin de no mermar
o restringir ni apartarse de las exigencias establecidas en el artículo 10 de la
Directiva.
VIGESIMOCTAVA. - Resulta llamativo que el artículo 11.1 letra c) APLO
haga referencia a “datos que el interesado haya hecho manifiestamente
públicos” sin introducir el Anteproyecto definición alguna al respecto ni pautas
regulatorias, no obstante existir abundante Jurisprudencia al respecto, que
ha pretendido colmar las lagunas normativas existentes.
VIGESIMONOVENA.- En relación con el tratamiento de los datos de
personas menores de edad se sugiere cohonestar la redacción del artículo
11.2, único del texto proyectado referido a los mismos, con el contenido de
la MAIN (páginas 18 y 40), teniendo en cuenta lo dispuesto en el
Considerando 97 de la Directiva y su expresa remisión a “[…] las normas
relativas a la lucha contra los abusos sexuales, la explotación sexual de los
menores, y la pornografía infantil, tal como se establecen en la Directiva
2011/93/UE del Parlamento Europeo y del Consejo”, entre las que se
encuentra la posibilidad de establecer registros de delincuentes sexuales cuyo
acceso “[…] debe estar sujeto a limitaciones con arreglo a los principios
![Page 87: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/87.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 87
constitucionales nacionales y las normas aplicables en materia de protección
de datos, por ejemplo permitiendo el acceso solamente a las autoridades
judiciales o a los cuerpos y fuerzas de seguridad”, (Considerando 43 de la
Directiva 2011/93/UE).
A tal efecto, entendiéndose como cuestión directamente vinculada al texto
proyectado, ha de recordarse la conclusión formulada por éste órgano
constitucional en el Informe aprobado por el Pleno del día 30 de mayo de
2019, sobre el Anteproyecto de Ley Orgánica de protección integral a la
infancia y la adolescencia frente a la violencia, en el que se puso de manifiesto
que “atendido el carácter imperativo de la obligación impuesta por el artículo
37 del Convenio de Lanzarote, no sometida a limitación o condición alguna,
se sugiere valorar la conveniencia de modificar su regulación actual, incluso
a través de su configuración como pena privativa de derechos (art. 39 CP), a
fin de garantizar el cumplimiento de la obligación de almacenar los datos
relativos a la identidad y perfil genético (ADN) de las personas condenadas
por cualquiera de los delitos tipificados con arreglo al Convenio de Lanzarote,
como exige el citado Tratado Internacional, ratificado por España”.
TRIGÉSIMA. - Por lo que respecta a los datos genéticos, definidos en los
mismos términos en los artículos 4,13) del Reglamento y 3,12) de la
Directiva, se sugiere valorar la conveniencia de adaptar la Ley Orgánica
10/2007, de 8 de octubre, reguladora de la base de datos policial sobre
identificadores obtenidos a partir del ADN, que no ha sufrido modificación
alguna, a las nuevas previsiones de la normativa de protección de datos.
TRIGESIMOPRIMERA.- A través del artículo 12.1 del texto proyectado,
con la exigencia relativa a que “[l]a norma habilitante del tratamiento deberá
establecer las medidas adecuadas para salvaguardar los derechos y
libertades del interesado”, que se limita a transcribir de forma literal lo
dispuesto al respecto en el artículo 11.1 de la Directiva, una vez más, el
prelegislador incorpora parámetros genéricos carentes de la necesaria
concreción en orden a dar cumplimiento al principio de reserva de ley
establecido en el artículo 81 de la Constitución, sin que obste a esta
observación lo dispuesto en el artículo 30.2 del Anteproyecto.
Esta falta de concreción y determinación de las medidas adecuadas para
salvaguardar los derechos y libertades del interesado, a su vez, ha de ponerse
en conexión con el artículo 50,n) del Anteproyecto que tipifica como infracción
muy grave “[l]La adopción de decisiones individuales automatizadas sin las
garantías señaladas en el artículo 12”, sin que el artículo 12 determine
![Page 88: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/88.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 88
debidamente cuales son éstas garantías, lo cual resulta contrario a la
necesaria certeza que demanda el Derecho administrativo sancionador.
A ello debe añadirse que tampoco el artículo 12.1 del texto proyectado
transpone adecuadamente las exigencias establecidas en el apartado 1 del
artículo 11 de la Directiva al omitir la exigencia de que la revisión humana ha
de llevarse a efecto “por parte del responsable del tratamiento”.
TRIGESIMOSEGUNDA.- Ante los límites ligados a la opacidad de los
algoritmos y en ausencia de normas específicas que regulen o prevean
garantías concretas podría resultar conveniente abordar la regulación del
proceso de elaboración de estos algoritmos, incluso su necesidad de
homologación o registro, a fin de evitar la utilización de aquellos que
contengan sesgos discriminatorios y dar cumplimiento efectivo al mandato
recogido en el artículo 11.3 de la Directiva y 12.2 del Anteproyecto que
prohíbe la elaboración de perfiles que dé lugar a una discriminación de las
personas físicas basándose en las categorías especiales de datos antes
mencionadas. Adicionalmente, la norma nacional de transposición debería dar
un paso más en la protección frente a la discriminación derivada de
mecanismos de decisión individual automatizados y prohibir por este tipo de
mecanismos el tratamiento de categorías especiales de datos.
TRIGESIMOTERCERA. - De acuerdo con lo establecido en el artículo 12.2
APLO, la mera existencia de sospechas fundadas de que un algoritmo toma
decisiones sesgadas debería determinar, de forma automática, el cese de su
utilización por parte de las autoridades competentes.
TRIGESIMOCUARTA.- Ante las herramientas informáticas hoy disponibles y
las posibilidades que ofrece el tratamiento automatizado de datos, resultaría
sumamente conveniente abordar la regulación de la utilización por parte de
las fuerzas y cuerpos de seguridad de la información obtenida de fuentes
abiertas, conocida por el acrónimo anglosajón OSINT, Open Source
Intelligence, atendiendo a un fin constitucionalmente legítimo, como es el
interés público propio de la investigación de los delitos y el descubrimiento
de los delincuentes, lo que constituye un bien digno de protección
constitucional, a través del cual se defienden otros como la paz social y la
seguridad ciudadana, bienes igualmente reconocidos en los artículos 10.1 y
104.1 de la Constitución.
TRIGESIMOQUINTA.- El artículo 18.1 del Anteproyecto se aparta de la
exigencia recogida en el artículo 17.1 de la Directiva, apreciándose una falta
![Page 89: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/89.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 89
de correspondencia entre los supuestos a los que se refieren los artículos 15.3
y 16.1, citados en este precepto, y los previstos en los artículos 13.3, 15.3 y
16.4 de la Directiva, en los que se ha de disponer que los derechos del
interesado también puedan ejercerse a través de la autoridad de control
competente, como supuesto de ejercicio indirecto de derechos fundamentales
y evidente garantía adicional de control en supuestos en los que se limita o
restringe la información que debe ponerse a disposición del interesado o que
se le debe proporcionar, el derecho de acceso o el tratamiento del derecho
de rectificación o supresión de datos personales.
TRIGESIMOSEXTA.- Ha de clarificarse la redacción recogida en el artículo
18.2 del Anteproyecto sobre el “derecho a interponer recurso contencioso-
administrativo” a fin de concretar en el texto proyectado, debidamente, el
acto contra el que cabría el citado recurso, resultando importante poner en
conexión las funciones atribuidas a las autoridades de protección de datos y
la competencia de la Jurisdicción Contencioso-administrativa para conocer de
la impugnación de los actos procedentes de las mismas, toda vez que su
independencia, a que se refiere el artículo 8.3 CDFUE, no debe significar que
dichas autoridades puedan quedar exentas de control judicial, resultando, por
ello, sumamente conveniente que el Anteproyecto incorporase previsiones
específicas sobre el régimen de impugnación de los actos de las autoridades
de protección de datos.
TRIGESIMOSÉPTIMA. - El artículo 19.1, prevé que «El ejercicio de los
derechos de información, acceso, rectificación y supresión a los que se hace
referencia en los artículos anteriores se llevará a cabo de conformidad con
las normas procesales penales cuando los datos personales figuren en una
resolución judicial, o en un registro, diligencias o expedientes tramitados en
el curso de investigaciones y procesos penales». No resulta fácilmente
identificables los supuestos de aplicación de esta regla, diferenciados y
distinguibles de los casos de tratamientos con fines jurisdiccionales, tal y
como se definen en al artículo 236 ter.1 LOPJ, esto es, datos que se
encuentren incorporados a los procesos de que conozcan juzgados y
tribunales y su finalidad se relacione directamente con el ejercicio de la
potestad jurisdiccional. Un supuesto posible de aplicación sería el del ejercicio
de acceso a una resolución judicial dictada en un proceso penal concluido y
archivado. En este caso, la remisión a las «normas procesales penales»
prevista en el artículo 19.1 APLO resultaría equívoca, pues el acceso a las
resoluciones judiciales en procesos conclusos está regulado, con carácter
general, en los artículos 235, 235 bis y 266 LOPJ, desarrollados en los
![Page 90: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/90.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 90
artículos 4 y 5 del Reglamento 1/2005, de los aspectos accesorios de las
actuaciones judiciales, aprobado por Acuerdo de 15 de septiembre de 2005,
del Pleno del Consejo General del Poder Judicial. Por ello, se considera más
acertado que la remisión se realice a las «normas procesales».
TRIGESIMOCTAVA. - El artículo 19.2 dispone que «Cuando los datos sean
objeto de un tratamiento con fines jurisdiccionales del que sea responsable
un órgano del orden jurisdiccional penal, el ejercicio de los derechos de
información, acceso, rectificación y supresión se realizará de conformidad con
lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas
procesales». La norma proyectada es plenamente coherente con lo previsto
en el artículo 236 octies.1 LOPJ y encuentra habilitación en el artículo 18 de
la Directiva.
TRIGESIMONOVENA. - El artículo 20 regula con carácter general las
obligaciones del responsable del tratamiento y tiene, entre sus destinarios, a
los órganos jurisdiccionales y las oficinas judiciales del orden penal que, de
acuerdo con el artículo 236 sexies LOPJ, son los responsables del tratamiento
de datos con fines jurisdiccionales. Esta es la única norma del articulado del
APLO que, fuera de los artículos 2.5 y 19.2, tiene como destinatarios a los
órganos jurisdiccionales. Habida cuenta de que el APLO parte de que la Ley
Orgánica proyectada sólo será aplicable con carácter subsidiario a los órganos
jurisdiccionales en el ámbito de aplicación del capítulo III de la Directiva, no
resulta coherente con este planteamiento que el artículo 20 contenga
obligaciones para juzgados y tribunales como responsables del tratamiento.
En este sentido, parece oportuno que la obligación de aplicar las medidas
técnicas y organizativas apropiadas para garantizar que el tratamiento se
lleve a cabo de acuerdo con lo previsto en la LOPJ y las normas procesales se
introduzca directamente en el lugar que resulta apropiado, esto es, el artículo
236 sexies LOPJ.
CUADRAGÉSIMA. - La referencia genérica a la adopción de las “medidas
técnicas y organizativas” que resulten apropiadas, que se recoge en el
artículo 20 APLO así como en el apartado IV de la Exposición de Motivos, y
en los artículos 21, 23, 25, 30, 50, 51, 52, no está dotada de la mínima
previsión legal a fin de que no derivar, exclusivamente, en el aplicador de la
norma lo que debe entenderse por tal concepto. A esta falta de concreción
ha de añadirse que los artículos 50.g), 51.g) y j) y 52.a) del Anteproyecto
tipifican diferentes infracciones relacionadas con la falta de adopción o
incumplimiento de las medidas técnicas y organizativas exigibles, lo cual
![Page 91: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/91.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 91
resulta contrario a las exigencias de certeza exigidas por el Derecho
administrativo sancionador.
CUADRAGESIMOPRIMERA.- El artículo 20 APLO, que a pesar de su
rúbrica no parece detallar o delimitar en su contenido, más allá de la
necesidad de adoptar las medidas técnicas y organizativas apropiadas, cuáles
son las obligaciones del responsable del tratamiento, no incorpora a nuestro
Derecho interno la previsión establecida en el artículo 19.1 de la Directiva
con la amplitud exigida por la norma que se transpone toda vez que ésta
exige al responsable del tratamiento “estar en condiciones de demostrar” y
no exclusivamente “garantizar”.
CUADRAGESIMOSEGUNDA. - El artículo 26 del APLO regula el registro
de operaciones como una de las medidas de seguridad que debe adoptarse
en relación con los tratamientos objeto de la Directiva. El apartado 2 de este
precepto incorpora la previsión del artículo 25.2 de la Directiva en unos
términos que la hacen irreconocible. La redacción del apartado 2 del artículo
26 debe acomodarse más fielmente a lo establecido en la Directiva.
CUADRAGESIMOTERCERA.- El artículo 31.1 del Anteproyecto al
excepcionar de la obligación de notificar, por parte del responsable del
tratamiento a la autoridad de protección de datos, cualquier violación de la
seguridad de los datos personales, los casos en que “sea improbable que la
violación de la seguridad de los datos personales constituya un peligro para
los derechos y las libertades de las personas físicas”, viene a recoger, una
vez más, una mera reproducción literal de lo dispuesto en la Directiva,
(artículo 30.1), incorporando al Derecho interno una referencia carente de la
necesaria concreción y determinación para su correcta aplicación.
CUADRAGESIMOCUARTA.- Esta misma observación resulta trasladable al
artículo 32.1 del texto proyectado en tanto deja en manos del responsable
del tratamiento la valoración de cuándo una violación de la seguridad de los
datos personales supone “un alto riesgo para los derechos y libertades de las
personas físicas”, sin ofrecer la norma legal al aplicador de la norma las
pautas necesarias para dotar de contenido a esta circunstancia, tipificando,
además, el Anteproyecto, en los artículos 50.p) y 52.n) y o) infracciones
relacionadas con el incumplimiento de las referidas notificaciones, careciendo
del grado de certeza exigible en la tipificación legal de las mismas.
CUADRAGESIMOQUINTA. - Como mejoras de técnica legislativa, en la letra
c) del apartado 3 del artículo 32 APLO, se sugiere acotar o delimitar la
![Page 92: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/92.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 92
referencia a la “publicación en el boletín oficial correspondiente” y en el
apartado 5 del artículo 32 APLO podría resultar conveniente remitir al
“apartado 1” del artículo 17, de manera análoga, asimismo, a la forma en
que se efectúa la remisión en el artículo 31.5 de la Directiva.
CUADRAGESIMOSEXTA.- El Capítulo VI del Anteproyecto se dedica a
las “[a]utoridades de protección de datos” que constituyen la necesaria
garantía de control institucional del derecho, debiendo llamar la atención
sobre la cierta confusión derivada de la utilización en el Anteproyecto de ésta
denominación junto a la de “autoridad de control” (artículos 2.7.e), 3, 38.2 y
3, 42.1.i), que es la utilizada en el Reglamento y en la Directiva, sugiriendo
al prelegislador la utilización de la denominación recogida en la norma que se
transpone.
CUADRAGESIMOSÉPTIMA. - El artículo 41 del APLO regula las
autoridades de control. No se entiende bien el sentido de este precepto, ya
que, por un lado, contiene previsiones innecesarias sobre lo que ya establece
la LOPDGDD, sin aportar nada nuevo, y, por otra, omite la más importante,
a los efectos de su regulación, como es la mención al Consejo General del
Poder Judicial como autoridad de control sobre los tratamientos para fines
jurisdiccionales. A juicio de este Consejo, este artículo o bien debe suprimirse
o, si se mantuviera debería limitarse a decir que son autoridades de control
las previstas en la LOPDGDD y en la LOPJ. A ello podría añadir que este
también, es el competente para garantizar el derecho fundamental sobre los
tratamientos para fines jurisdiccionales del Ministerio Fiscal o, en su caso,
aludir al órgano específico que se cree al efecto.
CUADRAGESIMOCTAVA.- Resultando legítimo el modelo de control
institucional por el que opta el Anteproyecto, debe tenerse en cuenta que
como resultado del texto proyectado, el ámbito competencial o de actuación
de las autoridades de control se va a ver notablemente ampliado, en un
ámbito muy específico, viniendo a la par acompañado de la habilitación para
el ejercicio indirecto de derechos fundamentales, junto con unos poderes o
potestades de gran amplitud lo que exige, en nuestro parecer, que el marco
legal proyectado incorpore las debidas cautelas, entre las que han de destacar
la necesaria especialización y el reforzamiento del deber de secreto
profesional. Por ello, resultaría sumamente conveniente la incorporación al
texto proyectado de la necesidad de que las autoridades de protección de
datos cuenten con unidades específicas para el ejercicio de las competencias
y funciones derivadas de la Directiva, dotadas de suficientes garantías para
proteger los derechos y las libertades fundamentales de las personas físicas.
![Page 93: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/93.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 93
CUADRAGESIMONOVENA.- A fin de dar cumplimiento al mandato recogido
en el artículo 44.2 de la Directiva, teniendo en cuenta la especialidad de la
materia objeto de la actividad de supervisión, la habilitación para el ejercicio
indirecto de derechos fundamentales y la potestad de investigación que se
atribuye a las autoridades de control, que incluye, como dispone el artículo
43,a) APLO “el acceso a todos los datos que estén siendo tratados por el
responsable o encargado del tratamiento”, han de incorporarse al texto
proyectado, con carácter general, las necesarias previsiones en relación con
el deber de secreto profesional y, en particular, con la información que
faciliten las personas físicas sobre infracciones de la regulación recogida en
el texto proyectado, lo que ha de ponerse en conexión con la Directiva (UE)
2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,
relativa a la protección de las personas que informen sobre infracciones del
Derecho de la Unión y la jurisprudencia del Tribunal de Justicia, cuyo plazo
de transposición finaliza el 17 de diciembre de 2021. Además de la necesaria
regulación específica de este deber, resultaría sumamente conveniente la
incorporación al Anteproyecto de sanciones disciplinarias específicas que
refuercen, frente al ciudadano, el deber de sigilo que pesa sobre quienes
tengan conocimiento por razón de su cargo de los datos a que se refiere el
Anteproyecto, asegurando al máximo, en los límites de lo jurídicamente
posible, la efectividad del deber de secreto profesional.
QUINCUAGÉSIMA. - El artículo 46 del APLO regula el derecho a
indemnización por entes del sector público. En su apartado 3 se remite al
régimen de responsabilidad patrimonial de la Administración de Justicia
previsto en los artículos 292 y siguientes de la LOPJ, donde se regula el
derecho de indemnización por funcionamiento anormal de la Administración
de Justicia y por error judicial. El centro de imputación del daño o lesión
derivado del incumplimiento de lo dispuesto en la ley orgánica se sitúa en
«los ficheros de una autoridad pública judicial». Por un lado, la referencia a
ficheros debería sustituirse por la de tratamientos, por ser el término
omnicomprensivo empleado en la normativa de protección de datos. Por otro
lado, el concepto de autoridad pública judicial resulta excesivamente genérico
en la medida en que parece incluir todos los supuestos de tratamientos
efectuados por el Ministerio Fiscal que entren en el ámbito de aplicación de
la Directiva. Por ello, a los efectos de que el enunciado del artículo 46.3 del
APLO se ajuste lo más posible al presupuesto aplicativo del régimen de
responsabilidad patrimonial previsto en la LOPJ se propone sustituir «ficheros
de una autoridad pública judicial» por «tratamientos en el ámbito de la
Administración de Justicia». En línea con lo señalado anteriormente, la
![Page 94: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/94.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 94
referencia a «ficheros de una autoridad pública administrativa» debería
sustituirse por «tratamientos llevados a cabo por una autoridad pública
administrativa».
QUINCUAGESIMOPRIMERA. - Se estima necesario revisar los tipos
infractores recogidos en los artículos 50, 51 y 52 del Anteproyecto en
tanto se observa su configuración utilizando conceptos jurídicos
indeterminados como “las medidas de seguridad adecuadas”, “medidas
técnicas y organizativas que resulten apropiadas”, “grave perjuicio para los
derechos y libertades de los interesados” que resultan contrarios a la
taxatividad y certeza que demanda el Derecho sancionador.
QUINCAGÉSIMOSEGUNDA.- En particular, deben ser objeto de revisión, al
no ajustarse a los parámetros que demanda el Derecho sancionador, los
siguientes tipos infractores recogidos en el Anteproyecto: el artículo 50.a)
que tipifica “[e]l tratamiento de datos personales que vulneren gravemente
los principios y garantías establecidos en el artículo 4”, por cuanto el artículo
4 únicamente trata de principios y no de garantías; el artículo 50.k) del
Anteproyecto que tipifica como infracción muy grave “[l]a vulneración del
deber de confidencialidad establecido en el artículo 23”, sin que el artículo 23
establezca deber de confidencialidad alguno; el artículo 50.n) que tipifica
como infracción muy grave “[l]La adopción de decisiones individuales
automatizadas sin las garantías señaladas en el artículo 12”, sin que el
artículo 12 determine debidamente cuales son éstas garantías; el artículo
50.f) y g) que parecen querer sancionar el mismo tipo infractor; los
artículos 50.g), 51.g) y j) y 52.a) que tipifican diferentes infracciones
relacionadas con la falta de adopción o incumplimiento de las medidas
técnicas y organizativas exigibles; los artículos 50.p) y 52.n) y o) que
tipifican infracciones relacionadas con el incumplimiento de las notificaciones
a que se refiere el artículo 32.1 que deja en manos del responsable del
tratamiento la valoración de cuándo una violación de la seguridad de los datos
personales supone “un alto riesgo para los derechos y libertades de las
personas físicas”; los artículos 51.a) y 52.c) que tipifican como infracción
grave y leve, respectivamente, “[e]l incumplimiento de los plazos de
conservación exigibles en virtud del artículo 6”, en tanto el artículo 6 no
determina dichos plazos; el artículo 51.p) que se refiere de manera
cumulativa -y no alternativa- a las acciones de “acceso, cesión, alteración y
divulgación de los datos” y el artículo 52.a) al tipificar la infracción en base
al concepto jurídico indeterminado de “debida diligencia”.
![Page 95: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/95.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 95
QUINCUAGESIMOTERCERA. - Se sugiere modificar la redacción del
artículo 53 del Anteproyecto, “[s]anciones”, declarando que en caso de
que el sujeto responsable sea algunos de los enumerados en el artículo 77.1
de la Ley Orgánica 3/2018, de 5 de diciembre será de aplicación lo dispuesto
en dicho precepto, debiendo aclarar y concretar debidamente el significado
del adverbio “además” incorporado al apartado 2 del precepto proyectado.
QUINCUAGESIMOCUARTA. - En el párrafo cuarto del apartado 1 del
artículo 54 APLO resultaría conveniente determinar, con la debida
concreción, el órgano administrativo al que se hace mención.
QUINCUAGESIMOQUINTA.- De conformidad con la Resolución de 28 de
julio de 2005, de la Subsecretaría del Ministerio de la Presidencia por la que
se da publicidad al Acuerdo del Consejo de Ministros, de 22 de julio de 2005,
por el que se aprueban las Directrices de técnica normativa, se sugiere
valorar la conveniencia de la incorporación al articulado de la disposición
adicional segunda, (por ejemplo en el propio artículo 5 o tras el mismo),
delimitando correctamente la referencia a “estas autoridades”, que parece
aludir a las autoridades competentes definidas en el artículo 2.3 del
Anteproyecto, así como la posibilidad de utilización de los datos obtenidos
para “la comunicación de estas autoridades con los interesados residentes en
los respectivos territorios, respecto a las relaciones jurídico-administrativas
derivadas de las competencias respectivas”, así como incorporar a la MAIN
referencia y explicación sobre el contenido de la misma.
QUINCUAGESIMOSEXTA. - En virtud del criterio estricto asumido por la
doctrina constitucional en la acotación del ámbito de la reserva de ley
orgánica si bien a través de la disposición final primera que tiene, a su
vez, rango orgánico, se atribuye carácter orgánico a la mayor parte del
articulado, se considera necesario ampliar la justificación recogida al respecto
en la MAIN (página 15).
QUINCUAGESIMOSÉPTIMA. - La disposición final tercera introduce un
nuevo apartado tercero en el artículo 236 octies con la siguiente redacción:
«3. Contra la denegación de las solicitudes de ejercicio de los derechos de
acceso, rectificación, limitación y supresión en relación con los datos tratados
con fines jurisdiccionales se podrá interponer directamente recurso
contencioso-administrativo ante el órgano jurisdiccional competente de
acuerdo con lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la
![Page 96: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/96.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 96
Jurisdicción Contencioso-administrativa». La modificación propuesta no
merece una valoración positiva y debería suprimirse
QUINCUAGESIMOCTAVA. - Desde el plano estrictamente formal, adolece
de notables deficiencias técnicas. Se prevé un remedio judicial frente a
actuaciones de juzgados y tribunales de cualquier orden jurisdiccional cuyo
conocimiento se atribuye a la jurisdicción contencioso-administrativa, que
constituye un evidente novum respecto del ámbito de la jurisdicción
contencioso-administrativa delimitado en el artículo 1 de la LJCA. Para ser
eficaz la pretensión del prelegislador debería ir acompañada de: a) la
inclusión de la denegación de las solicitudes de ejercicio de los derechos de
acceso, rectificación, limitación y supresión en relación con los datos tratados
con fines jurisdiccionales en el apartado 3 del artículo 1 de la LJCA; b) la
identificación del acto susceptible de recurso; c) la determinación del o los
órganos competentes dentro del orden contencioso-administrativo, que, por
razones derivadas del principio de reserva de ley orgánica cualificada, debería
tener el correspondiente reflejo en la LOPJ; d) la regulación de las evidentes
especialidades de un procedimiento contencioso-administrativo dirigido
frente a una actuación de un órgano jurisdiccional. Nada de esto contiene el
Anteproyecto, por lo que cabe considerar que la modificación de la LOPJ en
punto a introducir un procedimiento judicial de tutela del derecho
fundamental a la protección de datos respecto de los tratamientos con fines
jurisdiccionales no ha sido suficientemente meditada.
QUINCUAGESIMONOVENA. - Un análisis de fondo del texto proyectado
revela las relevantes razones que abogan por la no adopción de la propuesta.
El artículo 236 octies.1 LOPJ establece que el ejercicio de los derechos de
acceso, rectificación, cancelación (rectius, supresión) y oposición (rectius,
limitación) respecto de los datos tratados con fines jurisdiccionales se
tramitarán conforme a las normas que resulten de aplicación al proceso en
que los datos fueron recabados, no siendo de aplicación las disposiciones
establecidas al efecto por la legislación vigente en materia de protección de
datos de carácter personal. De lo que se deduce que la norma parámetro que
deberá emplear el órgano de la jurisdicción contencioso-administrativa para
el control de la denegación de la solicitud del ejercicio del derecho se contiene
en las leyes procesales aplicables en los distintos órdenes jurisdiccionales, lo
cual dista mucho de la especialización del orden contencioso-administrativo
(art. 9.4 LOPJ). En el ámbito del tratamiento de datos con fines
jurisdiccionales el derecho a obtener una resolución judicial fundada en
Derecho que se pronuncie sobre la eventual lesión del derecho a la protección
![Page 97: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/97.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 97
de datos imputable a un órgano jurisdiccional debe satisfacerse dentro del
propio orden jurisdiccional, de acuerdo con los medios de impugnación que
prevea la ley procesal aplicable. Es el legislador procesal el que establece los
correspondientes equilibrios entre el derecho a la protección de datos y el
derecho a la tutela judicial y es al juez de la ley procesal al que corresponde
interpretar y aplicar esos equilibrios, atendiendo a las concretas
circunstancias del caso que pueden atribuir un mayor peso a uno u otro
derecho y decantar la decisión judicial.
SEXAGÉSIMA. - La disposición final cuarta del APLO introduce un nuevo
artículo 15 bis en la Ley Orgánica 1/1979, de 26 de septiembre, General
Penitenciaria, en el que se regula el tratamiento de datos de carácter personal
de los reclusos. Tal previsión viene a cubrir una carencia en la Ley
penitenciaria y, en particular, da cobertura al tratamiento de categorías
especiales de datos, regulado en el apartado 2 del nuevo artículo 15 bis. Es
doctrina constitucional asentada que, de acuerdo con el artículo 25.2 CE,
cuando de la limitación de un derecho fundamental de un preso se trata y su
ejercicio no se encuentra restringido expresa o implícitamente en el fallo
condenatorio que condujo a la prisión tal limitación se prevea en la ley
penitenciaria (SSTC 58/1998, de 16 de marzo, FJ 3, y 6/2020, de 27 de
enero, FJ 3). En relación con el tratamiento de categorías especiales de datos,
el precepto legal debería establecer expresamente, que deberán establecerse
garantías adecuadas para preservar los derecho y libertades de los reclusos.
SEXAGÉSIMOPRIMERA.- En la disposición final sexta, que modifica la
rúbrica y el contenido del artículo 69 de la Ley 5/2014, de 4 de abril, de
Seguridad Privada se sugiere la supresión de la referencia a las “disposiciones
de desarrollo” de las Leyes 39/2015 y 40/2015, que recoge el nuevo aparado
1 del artículo 69 pues, como ha destacado el Consejo de Estado en diversos
dictámenes “ninguna de estas leyes tiene desarrollo reglamentario, ni está
previsto que lo tenga en el ámbito sancionador”, habiéndose incorporado a la
Ley 39/2015, de 1 de octubre, las especialidades sobre el procedimiento
sancionador que recogía el Reglamento para el ejercicio de la potestad
sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, que se
encuentra derogado.
SEXAGÉSIMOSEGUNDA.- El último párrafo del apartado I de la
Exposición de Motivos del Anteproyecto en tanto señala que “la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, adapta el Reglamento UE 2016/679”, y en
términos similares en el párrafo tercero de la página 9 de la MAIN, no resulta
![Page 98: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/98.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 98
acorde con el sistema de fuentes de la Unión, toda vez que la legislación
española, en modo alguno, puede adaptar el Reglamento (UE) 2016/679 a
nuestro ordenamiento jurídico, siendo el Ordenamiento jurídico español el
que debe adaptarse al RGPD.
SEXAGÉSIMOTERCERA. - Se sugiere revisar la redacción del párrafo
primero del apartado II de la Exposición de Motivos del APLO en tanto
al afirmar que la Decisión Marco 2008/977/JAI “había sido superada por
varias razones” parece omitir el pronombre relativo “que”.
SEXAGÉSIMOCUARTA.-.- En el párrafo segundo del apartado III de la
Exposición de Motivos se sugiere valorar la conveniencia de citar, junto a
los atentados de Bruselas y Niza de 2016, los atentados de Madrid del 11 de
marzo de 2004 y de Barcelona y Cambrils sufridos en agosto de 2017, en
coherencia con el contenido del Real Decreto 1008/2017, de 1 de diciembre,
por el que se aprueba la Estrategia de Seguridad Nacional 2017 y de la Orden
PCI/179/2019, de 22 de febrero, por la que se publica la Estrategia Nacional
contra el Terrorismo 2019, aprobada por el Consejo de Seguridad Nacional.
SEXAGÉSIMOQUINTA. - En el apartado 5 del artículo 13, el texto
proyectado limita la consideración de solicitud excesiva a aquellas que tengan
carácter repetitivo, a diferencia del artículo 12.4 de la Directiva, por lo que
se sugiere la adecuación de la redacción de dicho apartado a los términos
previstos en el citado precepto de la Directiva.
SEXAGESIMOSEXTA. - Se sugiere la modificación de la redacción del
artículo 15.4 APLO en orden a clarificar y concretar, debidamente, el
concepto de “exceso de coste”.
SEXAGESIMOSÉPTIMA. - Resultaría conveniente adecuar la redacción del
apartado 1 y segundo párrafo del apartado 2 del artículo 17 APLO a fin de
aclarar si basta la concurrencia de uno de los fines enumerados para legitimar
las restricciones a los derechos de información, acceso, rectificación o
supresión de datos personales y a la limitación de su tratamiento, a fin de
que el contenido del artículo resulte claro en orden a su aplicación por los
operadores jurídicos.
SEXAGESIMOCTAVA.- Del contenido del artículo 23.3.b) APLO se
desprende que dicho precepto no establece deber de confidencialidad alguno,
cuya vulneración se tipifica como infracción muy grave en el artículo 50.k)
del Anteproyecto, debiendo insistir en la importancia de contar con una
regulación específica de un deber reforzado de confidencialidad, junto con la
![Page 99: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/99.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 99
determinación de sanciones que aseguren el deber de sigilo que pesa sobre
quienes tengan conocimiento por razón de su empleo de los datos a que se
refiere el Anteproyecto, asegurando al máximo, en los límites de lo
jurídicamente posible, la efectividad del deber de confidencialidad.
SEXAGESIMONOVENA. - En el apartado 1 del artículo 30 APLO se valora
positivamente la referencia al cumplimiento de las medidas incluidas en el
Esquema Nacional de Seguridad, creado por el artículo 42 de la Ley 11/2007,
de 22 de junio, de acceso electrónico de los ciudadanos a los servicios
públicos, buscando establecer los principios básicos y requisitos mínimos
requeridos para una protección adecuada de la información.
SEPTUAGÉSIMA. - La redacción del apartado 1 del artículo 38, que se
corresponde con el artículo 37.1 de la Directiva, ha de adecuarse a la
naturaleza y finalidad del texto proyectado, eliminando en consecuencia la
referencia a “los Estados miembros”.
SEPTUAGESIMOPRIMERA. - El Anteproyecto carece de disposición
derogatoria, déficit que debe ser corregido.
SEPTUAGESIMOSEGUNDA. - Las páginas 26 a 30 de la MAIN recogen
una tabla de correspondencia entre los preceptos de la Directiva y su
correspondiente transposición en los artículos del anteproyecto de ley
orgánica, sugiriéndose la revisión de dicha tabla al haberse observado
divergencia con algunos de los preceptos del texto remitido (por ejemplo,
artículo 53 APLO, disposición adicional “única”, etc.).
SEPTUAGESIMOTERCERA. - Se propone la actualización de la regulación
contenida en los artículos 236 bis a 236 decies LOPJ, en el siguiente sentido:
- Debería sustituirse la referencia a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal por la del RGPD
y la LOPDyDGG, e incluir como normativa de aplicación preferente por
razón de las especialidades que contenga a las leyes procesales. De
este modo, la redacción del artículo 236 bis LOPJ pasaría a tener el
siguiente tenor: «El tratamiento de datos llevado a cabo con ocasión
de la tramitación por los Tribunales de los procesos de los que sean
competentes, así como el realizado dentro de la gestión de la Oficina
judicial se someterán a lo dispuesto en el Reglamento (UE) 2016/679,
la Ley Orgánica 3/2018, de 1 de diciembre, Protección de Datos
Personales y garantía de los derechos digitales y su normativa de
![Page 100: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/100.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 100
desarrollo, sin perjuicio de las especialidades establecidas en el
presente Capítulo y en las leyes procesales».
- Con el fin de reflejar el específico marco normativo aplicable a la
jurisdicción penal, debería introducirse un segundo párrafo en el
artículo 236 bis LOPJ coherente con lo previsto en el artículo 2.5 APLO.
En este sentido, su posible tenor podría ser el siguiente: «En el ámbito
de la jurisdicción penal, los tratamientos efectuados con fines de
prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales se regirán por lo dispuesto
en el presente Capítulo y las leyes procesales y, subsidiariamente, por
lo dispuesto en la Ley Orgánica de protección de datos personales
tratados para fines de prevención, detección, investigación o
enjuiciamiento de infracciones penales y de ejecución de sanciones
penales, así como de protección y prevención frente a las amenazas
contra la seguridad pública».
- Deberían sustituirse las referencias a la Ley Orgánica 15/1999 por la
referencia, más genérica, a la normativa o la legislación en materia de
protección en los artículos 236 quater, párrafo segundo; 236 sexies,
apartado 1; y, 236 nonies, apartado 1.
- El artículo 236 quater, en su primer párrafo, excluye el consentimiento
como base jurídica para el tratamiento de datos con fines
jurisdiccionales «De conformidad con lo dispuesto en el artículo 11.2
de la Ley Orgánica 15/1999, de 13 de diciembre». Resulta necesario
suprimir este inciso del precepto, manteniendo el resto del párrafo.
- En el artículo 236 sexies, apartado 2, in fine, la referencia a la
responsabilidad disciplinaria derivada de la comisión de una infracción
en materia de protección de datos «a la que se refiere el artículo 46.2
de la Ley Orgánica 15/1999, de 13 de diciembre» debe actualizarse
remitiéndose «a la que se refiere el artículo 77.2 de la Ley Orgánica
3/2018, de 1 de diciembre».
- Las referencias que se contienen en los artículos 236 bis a 236 decies
a los «ficheros» deben ser sustituidas por «tratamientos». En este
sentido, deberían sustituirse el término «fichero» o «ficheros» por el
de «tratamiento» o «tratamientos» en los artículos 236 ter, apartado
![Page 101: CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME...2020/06/25 · Poder Judicial, a efectos de la evacuación del correspondiente informe, conforme a lo dispuesto en el artículo 561.1](https://reader036.vdocumento.com/reader036/viewer/2022071503/6122ad13766b4364a8556984/html5/thumbnails/101.jpg)
CONSEJO GENERAL DEL PODER JUDICIAL
Secretaría General
Certificación Informe 101
2, en sus dos párrafos; artículo 236 sexies, apartado 1, en sus dos
párrafos, y apartado 3; artículo 236 octies, apartado 2.
- El contenido del artículo 236 septies relativo a la creación, modificación
y supresión de ficheros de los tribunales debería ser suprimido, pues
se trata de una regulación que gira en el vacío al haberse derogado el
título IV de la LO 15/1999 del que traía causa. En su lugar, sería muy
conveniente regular en la LOPJ las obligaciones y responsabilidades
que corresponden a las administraciones prestacionales en el ámbito
de la seguridad de los datos personales objeto de tratamiento mediante
los sistemas de gestión procesal y demás programas y aplicaciones al
servicio de la Administración de Justicia.
- Debería también modificarse el artículo 236 decies LOPJ referido a los
tratamientos de datos del Consejo General del Poder Judicial, eliminado
todo lo referente a la creación, modificación y supresión de los ficheros,
por las razones ya expuestas, manteniendo, en todo caso, la
consideración de la Secretaría General de este órgano constitucional
como responsable de los tratamientos realizados en el ejercicio de las
competencias del Consejo.
Es todo cuanto tiene que informar el Consejo General del Poder Judicial.
Lo precedente concuerda bien y fielmente con su original al que me remito,
y para que conste extiendo y firmo la presente en Madrid a 25 de junio de
2020.
Jose Luis de Benito y Benitez de Lugo
Secretario General