certificaciÓn de acuerdo relativo a informe...2020/06/25 · poder judicial, a efectos de la...

CONSEJO GENERAL DEL PODER JUDICIAL

Secretaría General

Certificación Informe 1

CERTIFICACIÓN DE ACUERDO RELATIVO A INFORME

Acto que se certifica: Acuerdo adoptado por el Pleno del Consejo General

del Poder Judicial en su reunión del día 25 de junio de 2020, por el que se ha

aprobado el siguiente:

INFORME SOBRE EL ANTEPROYECTO DE LEY ORGÁNICA DE

PROTECCIÓN DE DATOS PERSONALES TRATADOS PARA FINES DE

PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN O ENJUICIAMIENTO

DE INFRACCIONES PENALES Y DE EJECUCIÓN DE SANCIONES

PENALES, ASÍ COMO DE PROTECCIÓN Y PREVENCIÓN FRENTE A LAS

AMENAZAS CONTRA LA SEGURIDAD PÚBLICA

I. ANTECEDENTES

1.- Con fecha 2 de abril de 2020, procedente de la Secretaría de Estado de

Justicia del Ministerio de Justicia, tuvo entrada en el Consejo General del

Poder Judicial, a efectos de la evacuación del correspondiente informe,

conforme a lo dispuesto en el artículo 561.1 de la Ley Orgánica 6/1985, de 1

de julio, del Poder Judicial, el Anteproyecto de Ley Orgánica de Protección de

datos personales tratados para fines de prevención, detección, investigación

o enjuiciamiento de infracciones penales y de ejecución de sanciones penales,

así como de protección y prevención frente a las amenazas contra la

seguridad pública. Asimismo, al amparo de lo previsto en el artículo 561.2

LOPJ, se solicita la emisión del informe con carácter urgente e improrrogable.

El texto remitido viene acompañado de la correspondiente Memoria del

Análisis de Impacto Normativo del Anteproyecto (MAIN en adelante).

2.- La Comisión Permanente del Consejo, en su reunión del día 8 de abril de

2020, designó Ponentes de este informe a los Vocales Dña. María Victoria

Cinto Lapuente y Don Enrique Lucas Murillo de la Cueva.

II. CONSIDERACIONES GENERALES SOBRE LA FUNCIÓN

CONSULTIVA DEL CGPJ


Secretaría General


3.- La función consultiva del Consejo General del Poder Judicial a que se

refiere el artículo 561 de la Ley Orgánica del Poder Judicial (en la redacción

dada a dicho precepto por la Ley Orgánica 4/2013, de 28 de junio), tiene por

objeto los anteproyectos de leyes y disposiciones generales que afecten total

o parcialmente, entre otras materias expresadas en el citado precepto legal,

a “[n]ormas procesales o que afecten a aspectos jurídico-constitucionales de

la tutela ante los Tribunales ordinarios del ejercicio de derechos

fundamentales”, y “cualquier otra cuestión que el Gobierno, las Cortes

Generales o, en su caso, las Asambleas Legislativas de las Comunidades

Autónomas estimen oportuna” (apartados 6 y 9 del art. 561.1 LOPJ).

4.- Atendiendo a este dictado, en aras a una correcta interpretación del

alcance y sentido de la potestad consultiva que allí se prevé a favor de este

Consejo, no puede prescindirse del hecho de que la regulación proyectada

concierne, de manera especial, al derecho fundamental a la protección de los

datos personales que consagran el artículo 8 CDFUE y el 18.4 CE y, por tanto,

incide en aspectos jurídico-constitucionales de la tutela de tal derecho, lo que

determinará el alcance del informe que se emite por este órgano

constitucional.

5.- Sin perjuicio de lo anterior, y con arreglo al principio de colaboración entre

los órganos constitucionales, el Consejo General del Poder Judicial ha venido

indicando la oportunidad de efectuar en sus informes otras consideraciones

relativas, en particular, a cuestiones de técnica legislativa o de orden

terminológico, con el fin de contribuir a mejorar la corrección de los textos

normativos y, por consiguiente, a su efectiva aplicabilidad en los procesos

judiciales, por cuanto son los órganos jurisdiccionales quienes, en última

instancia, habrán de aplicar posteriormente las normas sometidas a informe

de este Consejo, una vez aprobadas por el órgano competente.

III. ESTRUCTURA Y CONTENIDO DEL ANTEPROYECTO

6.- El Anteproyecto consta de una exposición de motivos, ocho capítulos que

engloban un total de 55 artículos, dos disposiciones adicionales y nueve

disposiciones finales.

7.- Se estructura de la siguiente forma:


Secretaría General


- Un Capítulo I, que lleva por rúbrica “[d]isposiciones generales”, y

abarca los artículos 1 a 3: Artículo 1. Objeto, Artículo 2. Ámbito de

aplicación, Artículo 3. Definiciones.

- El Capítulo II, rubricado “Principios”, que comprende los artículos 4 a

12: Artículo 4. Principios relativos al tratamiento de datos personales,

Artículo 5. Colaboración con las autoridades competentes, Artículo 6.

Plazos de conservación y revisión, Artículo 7. Distinción entre

categorías de interesados, Artículo 8. Verificación de la calidad de los

datos personales, Artículo 9. Licitud del tratamiento, Artículo 10.

Condiciones específicas de tratamiento, Artículo 11. Tratamiento de

categorías especiales de datos personales y Artículo 12. Mecanismo de

decisión individual automatizado.

- El Capítulo III se dedica a los “Derechos de las personas”, y se articula,

a su vez, en dos secciones, con el siguiente rubricado y contenido:

La Sección 1ª dedicada al «Régimen general», abarcando los

artículos 13 a 18: Artículo 13. Condiciones generales de ejercicio

de los derechos de los interesados, Artículo 14. Información que

debe ponerse a disposición del interesado, Artículo 15. Derecho

de acceso del interesado a sus datos personales, Artículo 16.

Derecho de rectificación o supresión de datos personales y

limitación de su tratamiento, Artículo 17. Restricciones a los

derechos de información, acceso, rectificación o supresión de

datos personales y a la limitación de su tratamiento, Artículo 18.

Ejercicio de los derechos del interesado a través de la autoridad

de protección de datos.

La Sección 2ª al «Régimen especial», estando integrada por un

único precepto, el Artículo 19. Condiciones especiales de

ejercicio de los derechos de los interesados como consecuencia

de investigaciones y procesos penales.

- El Capítulo IV aborda la regulación del «[r]esponsable y encargado de

tratamiento» en los artículos 20 a 35, divididos en tres secciones:

La Sección 1.ª, «Obligaciones generales», integrada por el

Artículo 20. Obligaciones del responsable del tratamiento; el

Artículo 21. Protección de datos desde el diseño y por defecto;

el Artículo 22. Corresponsables del tratamiento; el Artículo 23.

Encargado del tratamiento; el Artículo 24. Tratamiento bajo la

autoridad del responsable o del encargado del tratamiento; el

Artículo 25. Registros de las actividades de tratamiento; el

Artículo 26. Registro de operaciones; el Artículo 27. Cooperación

con la autoridad de protección de datos; el Artículo 28.


Secretaría General


Evaluación de impacto relativa a la protección de datos; y, el

Artículo 29. Consulta previa a la autoridad de protección de

datos.

La Sección 2.ª «Seguridad de los datos personales», que

engloba los artículos 30 a 32: Artículo 30. Seguridad del

tratamiento; Artículo 31. Notificación a la autoridad de

protección de datos de una violación de la seguridad de los datos

personales; y, Artículo 32. Comunicación de una violación de la

seguridad de los datos personales al interesado.

- La Sección 3.ª «Delegado de protección de datos» que se encuentra

integrada por los artículos 33 a 35: Artículo 33. Designación del

delegado de protección de datos; Artículo 34. Posición del delegado de

protección de datos; Artículo 35. Funciones del delegado de protección

de datos.

- El Capítulo V lleva por rúbrica «[t]ransferencias de datos personales a

terceros países que no sean miembros de la Unión Europea u

organizaciones internacionales» estando integrado por los siguientes

preceptos: Artículo 36. Principios generales de las transferencias de

datos personales; Artículo 37. Transferencias basadas en una decisión

de adecuación; Artículo 38. Transferencias mediante garantías

apropiadas; Artículo 39. Excepciones para situaciones específicas; y,

Artículo 40. Transferencias directas de datos personales a destinatarios

establecidos en países que no sean miembros de la Unión Europea.

- El Capítulo VI, rubricado «Autoridades de protección de datos» y que

comprende los artículos 41 a 44: Artículo 41. Autoridades de protección

de datos; Artículo 42. Funciones; Artículo 43. Potestades; Artículo 44.

Asistencia entre autoridades de protección de datos de los Estados

miembros.

- El Capítulo VII «Reclamaciones», integrado por los siguientes

preceptos: Artículo 45. Régimen aplicable a los procedimientos

tramitados por las autoridades de protección de datos; Artículo 46.

Derecho a indemnización por entes del sector público; y, Artículo 47.

Derecho a indemnización por encargados del tratamiento del sector

privado.

- Finalmente, el Capítulo VIII que se dedica al «[r]égimen sancionador»

abarcando los artículos 48 a 55: Artículo 48. Sujetos responsables;

Artículo 49. Normas de conflicto; Artículo 50. Infracciones muy graves;

Artículo 51. Infracciones graves; Artículo 52. Infracciones leves;

Artículo 53. Sanciones; Artículo 54. Prescripción de las infracciones y

sanciones; y, Artículo 55. Caducidad del procedimiento.


Secretaría General


8.- En cuanto a las disposiciones adicionales del APLO, son las siguientes:

Disposición adicional primera. Acuerdos internacionales celebrados con

anterioridad en el ámbito de la cooperación judicial en materia penal y

de la cooperación policial.

Disposición adicional segunda. Ficheros y Registro de Población de las

Administraciones Públicas.

9.- Por último, cierran el texto remitido nueve disposiciones finales:

Disposición final primera. Naturaleza de la ley.

Disposición final segunda. Título competencial.

Disposición final tercera. Modificación de la Ley Orgánica 6/1985, de 1

de julio, del Poder Judicial.

Disposición final cuarta. Modificación de la Ley Orgánica 1/1979, de 26

de septiembre, General Penitenciaria.

Disposición final quinta. Modificación de la Ley Orgánica 4/2010, de 20

de mayo, del Régimen disciplinario del Cuerpo Nacional de Policía.

Disposición final sexta. Modificación de la Ley 5/2014, de 4 de abril, de

Seguridad Privada.

Disposición final séptima. Modificación de la Ley 19/2007, de 11 de

julio, contra la violencia, el racismo, la xenofobia y la intolerancia en

el deporte.

Disposición final octava. Incorporación del Derecho comunitario.

Disposición final novena. Entrada en vigor.

IV. CONSIDERACIONES GENERALES

10.- El Anteproyecto tiene como finalidad, esencialmente, la incorporación al

Ordenamiento español de la Directiva (UE) 2016/680 del Parlamento Europeo

y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas

físicas en lo que respecta al tratamiento de datos personales por parte de las

autoridades competentes para fines de prevención, investigación, detección

o enjuiciamiento de infracciones penales o de ejecución de sanciones penales,

y a la libre circulación de dichos datos y por la que se deroga la Decisión

Marco 2008/977/JAI del Consejo (la Directiva, en lo sucesivo).

11.- Esta finalidad se plasma en la disposición final octava de la norma

proyectada, resultando relevante a estos efectos que conforme al apartado 1


Secretaría General


del artículo 63 de la Directiva, los Estados miembros adoptarán y publicarán

las disposiciones legales, reglamentarias y administrativas necesarias para

dar cumplimiento a lo dispuesto en la misma, a más tardar el 6 de mayo de

2018.

12.- Como se ha indicado, el proyecto remitido viene acompañado de la MAIN

del Anteproyecto que defiende la oportunidad de la propuesta tomando como

punto de partida, junto con la transposición de la Directiva (UE) 2016/680,

la necesidad de dar «respuesta a las crecientes amenazas para la seguridad

en el contexto nacional e internacional, que tienen, en numerosos casos, un

componente transfronterizo”, de manera que “la cooperación internacional y

la transmisión de información de carácter personal entre los servicios

policiales y judiciales de los países implicados, se convierte en un objetivo

ineludible».

13.- La Directiva constituye el instrumento normativo europeo a través del

cual se ha de articular la regulación de la protección de las personas físicas

en lo que respecta al tratamiento de los datos personales por parte de las

autoridades competentes, con fines de prevención, investigación, detección


incluidas la protección y la prevención frente a las amenazas contra la

seguridad pública (artículo 1 de la Directiva).

14.- Resulta relevante para la adecuada comprensión e interpretación de la

Directiva 2016/680 el hecho, no casual, de que, en la misma fecha, el 27 de

abril de 2016, se aprobaron también:

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,

(el Reglamento o RGPD en adelante), relativo a la protección de las

personas físicas en lo que respecta al tratamiento de datos personales

y a la libre circulación de estos datos y por el que se deroga la Directiva

95/46/CE (Directiva que vino a establecer las condiciones en las que

los Estados miembros habían de garantizar la protección del derecho

a la intimidad de las personas físicas, en lo que respecta al tratamiento

de los datos personales, buscando armonizar la regulación de los

Estados miembros al respecto), que es obligatorio en todos sus

elementos y directamente aplicable en cada Estado miembro a partir

del 25 de mayo de 2018 (artículo 99 del RGPD).


Secretaría General


Y la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo,

de 27 de abril de 2016, relativa a la utilización de datos del registro

de nombres de los pasajeros (PNR) para la prevención, detección,

investigación y enjuiciamiento de los delitos de terrorismo y de la

delincuencia grave, cuyo plazo de transposición finalizaba el 25 de

mayo de 2018 (artículo 18 de la Directiva), debiendo destacar que el

Informe al Anteproyecto de Ley Orgánica sobre la utilización de los

datos del registro de nombres de pasajeros para la prevención,

detección, investigación y enjuiciamiento de delitos de terrorismo y

delitos graves fue aprobado por Acuerdo del Pleno del Consejo General

del Poder Judicial en su reunión del día 25 de abril de 2018.

15.- Estas tres normas, que se publicaron en el mismo Diario Oficial de la

Unión Europea, el 4 de mayo de 2016, forman un bloque normativo que ha

de tenerse presente a la hora de abordar el estudio del anteproyecto objeto

del presente informe sin perder de vista en ningún momento que todas ellas

tienen como fuente primigenia el artículo 8 de la Carta de Derechos

Fundamentales de la Unión Europea (CDFUE), donde se reconoce el derecho

fundamental a la protección de datos de carácter personal. Ahora bien,

mientras la disciplina general de ese derecho se lleva a cabo en el RGPD y,

por determinación expresa de este, se complementa con las disposiciones de

los Estados Miembros, la específica, es decir, la que versa sobre el PNR y la

relativa a la prevención, investigación, detección o enjuiciamiento de

infracciones penales o de ejecución de sanciones penales, se aborda a través

de las correspondientes Directivas. Ha de precisarse que esta opción

regulativa ni disminuye ni relativiza en lo más mínimo la apuntada necesidad

de comprensión e interpretación conjunta de las tres normas. Máxime si se

tienen en cuenta que las remisiones que se hacen entre sí y que todo ello ha

de entenderse a la luz de la jurisprudencia de los Tribunales de Estrasburgo

y Luxemburgo sobre el repetido derecho fundamental. Ahora bien, la

constatación de la estrecha relación entre las tres normas, que

indudablemente pertenecen a un mismo tronco común, tampoco debe

llevarnos a ignorar que cada una de ellas tiene su propia sustantividad y un

ámbito de regulación específico que obedece a la distinta base jurídica en la

que se fundamentan y al objetivo que persiguen. De otro modo, no se

justificaría que la regulación de la protección de datos se haya repartido en

tres normas diferentes y, además, de distinta naturaleza.

16.- Así, en virtud del artículo 16.2 del Tratado de Funcionamiento de la

Unión Europea (TFUE), la que hemos llamado disciplina general del derecho


Secretaría General


fundamental se ha plasmado en un reglamento (RGPD), que es directamente

aplicable y obligatorio en todos sus elementos y no deja más margen de

configuración normativa a los Estados miembros que el que ofrecen sus

habilitaciones específicas. Sin embargo, las otras dos han adoptado la forma

de directivas, de conformidad con el artículo 82.2 TFUE en tanto que, aunque

participan de la base del citado artículo 16.2 TFUE, sus objetivos están

vinculados a la cooperación judicial en materia penal, en la que la

armonización europea no es tan intensa, lo que ofrece, en principio, una

mayor libertad de regulación a los Estados miembros, aunque todo depende

del grado de detalle de las mismas.

17.- Ese es el motivo por el que el RGPD y la Directiva (UE) 2016/680

delimitan dos ámbitos subjetivos de aplicación claramente diferenciados

(considerando 19 y artículo 1.2 d) RGPD) y la disposición transitoria cuarta

([t]ratamientos sometidos a la Directiva (UE) 2016/680) de Ley Orgánica

3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales) prevé que «[l]os tratamientos sometidos a la Directiva

(UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,

relativa a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales por parte de las autoridades competentes

para fines de prevención, investigación, detección o enjuiciamiento de

infracciones penales o de ejecución de sanciones penales, y a la libre

circulación de dichos datos y por la que se deroga la Decisión Marco

2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica

15/1999, de 13 de diciembre, y en particular el artículo 22, y sus

disposiciones de desarrollo, en tanto no entre en vigor la norma que

trasponga al Derecho español lo dispuesto en la citada directiva.»

18.- Como es natural, la fuente normativa empleada y su grado de concreción

tienen especial importancia en cuanto a la determinación del nivel de

protección del derecho fundamental de que se trate, cuestión que

históricamente ha sido objeto de grandes debates y tensiones y sobre la que

el Tribunal de Justicia ha tenido dos importantes pronunciamientos. Estas son

las Sentencias de la Gran Sala (sentencia de 26 de febrero de 2013, C-

617/10, Akerberg Fransson, ECLI:EU:C:2013:105, y sentencia de 26 de

febrero, C-399/11, Melloni, ECLI:EU:C: 2013:107). La primera de ellas dice

que «en una situación en la que la acción de los Estados miembros no esté

totalmente determinada por el Derecho de la Unión, las autoridades y

tribunales nacionales siguen estando facultados para aplicar estándares

nacionales de protección de los derechos fundamentales, siempre que esa


Secretaría General


aplicación no afecte al nivel de protección previsto por la Carta, según su

interpretación por el Tribunal de Justicia, ni a la primacía, la unidad y la

efectividad del Derecho de la Unión» (par. 29). De este modo, en una

situación en la que la acción del Estado miembro no esté totalmente

determinada por el Derecho de la Unión cabe aplicar el nivel de protección

más elevado garantizado por la norma constitucional nacional.

19.- Esta última es la situación en la que nos encontramos en el presente

caso. Se trata, por un lado, de la transposición de una Directiva que deja

libertad a los Estados para la elección de la forma y los medios de su

cumplimiento (art. 288.3 TFUE), pero, por otro, su considerando 15 afirma

que su propósito es «establecer normas armonizadas para la protección y la

libre circulación de los datos personales tratados con fines de prevención,

investigación, detección o enjuiciamiento de infracciones penales o de

ejecución de sanciones penales, incluidas la protección y la prevención frente

a las amenazas para la seguridad pública» con el fin de «garantizar el mismo

nivel de protección de las personas físicas a través de derechos jurídicamente

exigibles en toda la Unión y evitar divergencias que dificulten el intercambio

de datos personales entre las autoridades competentes». Una advertencia

que apunta a una regulación pormenorizada. Sin embargo, más adelante

precisa que «no se debe impedir a los Estados miembros que ofrezcan

garantías mayores que las establecidas en la presente Directiva para la

protección de los derechos y libertades del interesado con respecto al

tratamiento de sus datos personales por parte de las autoridades

competentes».

20.- En relación con el contenido y alcance del derecho fundamental a la

protección de datos reconocido tanto en el artículo 8 de la Carta de Derechos

Fundamentales de la Unión Europea como en el artículo 18.4 de la

Constitución, nos remitimos a las consideraciones efectuadas en el informe

sobre anteproyecto de Ley Orgánica de protección de datos de carácter

personal, así como el informe complementario, aprobados respectivamente

por acuerdos del Pleno de 26 de julio y de 26 de octubre de 2017, y el informe

sobre el Anteproyecto de Ley Orgánica sobre la utilización de los datos del

registro de nombres de pasajeros para la prevención, detección, investigación

y enjuiciamiento de delitos de terrorismo y delitos graves, aprobado por el

Pleno de este órgano constitucional en fecha 25 de abril de 2018.


Secretaría General


a) Carácter de la ley proyectada

21.- En virtud del principio de autonomía institucional (artículo 4.2 TUE), el

Derecho europeo no prejuzga el rango o carácter de la norma nacional que,

de acuerdo con el propio sistema de fuentes, se adopte para incorporar al

ordenamiento interno la norma europea que se transpone.

22.- La Disposición final primera del Anteproyecto, rubricada «[n]aturaleza

de la ley», atribuye a la misma el carácter de ley orgánica, señalando que,

no obstante, tienen carácter ordinario el Capítulo VI «[a]utoridades de

protección de datos» (artículos 41 a 44), el Capítulo VII «[r]eclamaciones»

(artículos 45 a 47) y el Capítulo VIII «[r]égimen sancionador» (artículos 48

a 55), ostentando la referida disposición final rango orgánico, como resulta

exigible.

23.- Constituye doctrina constitucional consolidada la interpretación estricta

del alcance de la reserva de ley orgánica respecto del desarrollo de los

derechos fundamentales, a fin de evitar petrificaciones del ordenamiento y

de preservar la regla de las mayorías parlamentarias no cualificadas (STC

173/1998, de 23 de julio, FJ 7). Ello es debido al juego de los artículos 53 y

81.1 CE, con arreglo al cual, la reserva de ley que contiene el primero («solo

por ley») para regular el ejercicio de los derechos del Capítulo II, lo es de ley

ordinaria. Sin embargo, conforme al segundo, se precisa ley orgánica en lo

que suponga desarrollo directo del precepto que reconozca el correspondiente

derecho fundamental si este es uno de los contenidos en la Sección Primera

de dicho Capitulo, tal y como sucede con los que reconoce el artículo 18.1 y

4 CE.

24.- Así, a la ley orgánica prevista en el artículo 81.1 CE corresponde el

«desarrollo directo» del derecho fundamental, esto es, «la regulación de

determinados aspectos esenciales para la definición del derecho, la previsión

de su ámbito y la fijación de sus límites en relación con otras libertades

constitucionalmente protegidas» (STC 132/1989, de 18 de julio, FJ 16)», en

tanto que a la ordinaria le atañe todo cuanto se refiere al ejercicio del

derecho.

25.- Esta diferenciación es el punto de partida que ha de tomarse para

determinar qué partes de la Directiva (UE) 2016/680 han de ser objeto de

transposición a través de cada uno de los tipos de ley señalados. No es, por

consiguiente, suficiente con afirmar, como hace la MAIN (pág. 15) que


Secretaría General


«[r]especto al rango de la ley, habida cuenta de que se trata de una norma

que afecta al derecho a la intimidad personal consagrado como derecho

fundamental por el artículo 18.4 de la Constitución, la transposición exige la

aprobación de una ley con rango de orgánica, tal y como prevé el artículo

81.1 de nuestra Norma Fundamental». Resultaría preciso examinar con

cuidado cada uno de los elementos del derecho para determinar hasta dónde

ha de llegar el desarrollo directo y dónde debe comenzar la disciplina

normativa sobre su ejercicio. Siempre, además, desde una interpretación

estricta de la reserva de ley orgánica a fin de que, como se ha advertido, no

se produzca una congelación de rango que se traduzca en la petrificación del

ordenamiento jurídico merced a la mayoría absoluta que requiere su

aprobación y modificación. Pues bien, pese a la importancia de este deslinde,

lo cierto es que ni la MAIN ni la exposición de motivos del APLO ofrecen la

más mínima valoración de tan importante extremo ni explican cuáles de los

elementos esenciales del derecho de protección de datos, de su definición,

ámbito y límites, resultan directamente comprometidos en la transposición

de la Directiva (UE) 2016/680 y que, por tal motivo, deban regularse

mediante ley orgánica. Un análisis que, nuevamente, exige atender a los

apartados 1 y 4 del artículo 18 CE y la doctrina del Tribunal Constitucional

sobre ellos. Esta carencia, por más que se repita en muchas leyes, merece

nuestro reproche en la medida en que nos encontramos ante una materia

especialmente delicada.

b) Título competencial

26.- Conforme a la disposición final segunda del Anteproyecto, la ley orgánica

se dicta «al amparo de las reglas 1ª, 6ª y 29ª del artículo 149.1 de la

Constitución, que atribuyen al Estado las competencias exclusivas,

respectivamente, para la regulación de las condiciones básicas que garanticen

la igualdad de todos los españoles en el ejercicio de los derechos y en el

cumplimiento de los deberes constitucionales sobre legislación penal,

penitenciaria, procesal y en materia de seguridad pública».

27.- A juicio de este órgano constitucional son pertinentes los títulos

competenciales invocados por la disposición final primera del Anteproyecto,

tanto los artículos 149.1.6ª y 29ª CE, en atención a la materia regulada. No

sucede lo mismo con el artículo 149.1.1ª CE en aquello que esté dentro del

desarrollo directo del derecho fundamental, pues en el actúa la reserva de

ley orgánica que no constituye per se un título competencial (SSTC 137/1986

y 173/1998). Es decir, ese apartado solo juega en lo que suponga regulación


Secretaría General


por ley ordinaria del ejercicio de aquél y entre en contacto con competencias

autonómicas.

V. CONSIDERACIONES PARTICULARES SOBRE EL CONTENIDO DEL

ANTEPROYECTO.

28.- El análisis del Anteproyecto incidirá sobre la regulación de los

tratamientos de datos llevados a cabo en el ámbito de los órganos

jurisdiccionales, así como del Ministerio Fiscal (apartado a) y la salvaguarda

del derecho fundamental de protección de datos desde la perspectiva del

cumplimiento de las exigencias del principio de reserva de ley (apartado b),

así como de la correcta transposición de la Directiva. También, desde la

perspectiva del principio de legalidad, se analizarán las previsiones en

materia sancionadora (apartado c) y se realizarán algunas consideraciones

de técnica legislativa (apartado d). Finalmente, se proponen algunos cambios

normativos en la regulación de los artículos 236 bis a 236 decies LOPJ con el

fin de actualizar su contenido (apartado e).

a) Tratamientos de datos personales efectuados en el ámbito de

aplicación de la Directiva por los órganos jurisdiccionales, así

como por el Ministerio Fiscal.

29.- A ellos se refieren los considerandos 20 y 80 de la Directiva. El primero

aclara que «La presente Directiva no impide que, en las normas nacionales

relativas a los procesos penales, los Estados miembros especifiquen

operaciones y procedimientos de tratamiento relativos al tratamiento de

datos personales por parte de tribunales y otras autoridades judiciales, en

particular en lo que respecta a los datos personales contenidos en

resoluciones judiciales o en registros relacionados con procesos penales.» El

segundo alude a «otras autoridades judiciales», mención que debe

entenderse referida al Ministerio Fiscal.

30.- La llamada al Derecho nacional cabe entroncarla con el principio de

autonomía procesal, establecido firmemente en la jurisprudencia del Tribunal

de Justicia (sentencias de 27 de octubre de 1971, Rheinmühlen, C- 166-73,

ECLI:EU:C:1974:3, par. 8; de 7 de enero de 2004, Delena Wells, C-201/02.

ECLI:EU:C:2004:12, par. 65, 67 y 70; de 25 de marzo de 2010, C-451/08,

Helmut Müller, ECLI:EU:C:2010:168, par. 62; entre otras muchas), en virtud

del cual los Estados miembros disponen de un amplio margen de maniobra


Secretaría General


en el establecimiento de las condiciones procesales en que los tribunales

aplican el Derecho de la Unión (con los límites de los principios de

equivalencia y de efectividad).

31.- Son manifestaciones de lo dicho los derechos de información (art. 13),

acceso (art. 14) y de rectificación, supresión y limitación del tratamiento (art.

16 Directiva), que se ejercerán de conformidad con el Derecho del Estado

Miembro «cuando los datos personales figuren en una resolución judicial o en

un registro o expediente tramitado en el curso de investigaciones y procesos

penales».

32.- Por su lado, el artículo 32.1 de la Directiva autoriza a los Estados a

eximir de la obligación de designación de un delegado de protección de datos

«a los tribunales y demás autoridades judiciales independientes cuando

actúen en ejercicio de sus competencias judiciales».

33.- Finalmente, en el artículo 45.2 de la Directiva, en línea con el artículo

55.3 RGPD, admite que los órganos jurisdiccionales no se sometan a la misma

autoridad de control que los particulares y los demás poderes públicos y que

el control sobre los tratamientos que realicen en ejercicio de su función

jurisdiccional se asigne a otra autoridad independiente. En tal sentido, el

considerando 80 de la Directiva dice lo siguiente:

«Aunque la presente Directiva también se aplica a las actividades de

los órganos jurisdiccionales nacionales y otras autoridades judiciales,

la competencia de las autoridades de control no debe abarcar el

tratamiento de datos personales cuando los órganos jurisdiccionales

actúen en ejercicio de su función jurisdiccional, con el fin de garantizar

la independencia de los jueces en el desempeño de sus funciones. Esta

excepción debe limitarse a actividades judiciales en juicios y no debe

aplicarse a otras actividades en las que puedan estar implicados los

jueces, de conformidad con el Derecho del Estado miembro. Los

Estados miembros pueden disponer también que la competencia de la

autoridad de control no abarque el tratamiento de datos personales

realizado por otras autoridades judiciales independientes en el ejercicio

de su función jurisdiccional, por ejemplo, la fiscalía. En todo caso, el

cumplimiento de las normas de la presente Directiva por los órganos

jurisdiccionales y otras autoridades judiciales independientes debe


Secretaría General


estar sujeto siempre a una supervisión independiente de conformidad

con el artículo 8, apartado 3, de la Carta.»

34.- Es decir, los órganos judiciales en el ejercicio de sus funciones

jurisdiccionales y las «autoridades judiciales independientes» pueden quedar

extramuros de la competencia de la autoridad (administrativa) de control,

pero no exentos de todo control. Por el contrario, el reconocimiento del

derecho de protección de datos como derecho fundamental de la Unión

Europea en el artículo 8 de la Carta integra como uno de sus elementos, la

garantía institucional de que el control del cumplimiento de las normas de

tratamiento de datos «estará sujeto al control de una autoridad

independiente».

35.- A partir del marco expuesto, el prelegislador ha optado por dar un

tratamiento normativo específico a la actividad de los órganos jurisdiccionales

(y del Ministerio Fiscal) que entra dentro del ámbito de aplicación de la

Directiva.

36.- En líneas generales, la opción contenida en el Anteproyecto consiste en

someter el tratamiento de datos personales con fines jurisdiccionales

efectuado por los órganos judiciales del orden penal a las previsiones

específicas en materia de protección de datos contenidas en la Ley Orgánica

del Poder Judicial y a las normas procesales (art. 2.5 y art. 19.2 APLO),

estableciendo la aplicación de la Ley Orgánica proyectada como supletoria en

lo relativo al ejercicio de los derechos regulados en el capítulo III del

Anteproyecto (art. 2.5 in fine y art. 19.3 APLO). En este punto se observa

una cierta discordancia con lo expresado en el párrafo tercero del apartado

IV de la Exposición de Motivos que se refiere, para estos tratamientos, a la

aplicación subsidiaria de «esta ley orgánica», debiendo precisarse que el

carácter supletorio se limita a su capítulo III.

37.- Por otro lado, se prevé que no será obligatoria la designación de

delegado de protección de datos cuando el tratamiento de datos personales

tenga fines jurisdiccionales (art. 33.1 APLO).

38.- El Anteproyecto se sitúa, de este modo, en línea con lo previsto en la

LOPDGDD cuyo artículo 2.4 dispone que «el tratamiento de datos llevado a

cabo con ocasión de la tramitación por los órganos judiciales de los procesos

de los que sean competentes, así como el realizado dentro de la gestión de

la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE)


Secretaría General


2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la

Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables».

39.- La remisión preferente a la LOPJ, que en punto al ejercicio de los

derechos de protección de datos se remite a la leyes procesales (art. 236

octies.1 LOPJ), y la aplicación supletoria del RGPD y la LOPDGDD respecto de

los tratamientos de datos con fines jurisdiccionales, encuentra su punto de

anclaje en la cláusula de limitación de los derechos reconocidos en el RGPD

contenida en el artículo 23.1 RGPD que permite a los Estados limitar el

alcance de las obligaciones y los derechos en materia de protección de datos

cuando resulten necesaria para salvaguardar, entre otros fines, «la

protección de la independencia judicial y de los procedimientos judiciales»

(art. 21.1.f RGPD).

40.- La LOPDGDD y el Anteproyecto comparten el mismo planteamiento en

cuanto a la sujeción de los tratamientos con fines jurisdiccionales a la

respectiva normativa de protección de datos. Ambos textos parten de la

consideración, que debe valorarse positivamente, de que el lugar natural en

el que debe regularse el ejercicio de los derechos de información, acceso,

supresión, oposición y limitación al tratamiento son las respectivas leyes

rituarias que ordenan el proceso. Es la ley procesal la que está en mejor

situación para efectuar la ponderación entre los derechos a la protección de

datos y a la tutela judicial efectiva de las partes y establecer las relaciones

de prevalencia condicionada entre uno y otro en función de los intereses en

juego en cada tipo de trámite en el curso del procedimiento, cohonestando

los principios esenciales del proceso de contradicción, audiencia, igualdad de

armas e interdicción de la indefensión con las exigencias de la protección de

datos.

41.- A partir de las consideraciones anteriores, se estima acertada la

regulación contenida en el artículo 2.5 del APLO de acuerdo con el cual:

«Los tratamientos realizados por los órganos jurisdiccionales en el ámbito del

artículo 1 se regirán por lo dispuesto en la Ley Orgánica 6/1985, de 1 de julio,

del Poder Judicial, por las leyes procesales penales y, subsidiariamente, por

lo dispuesto en el capítulo III de esta ley orgánica».

42.- La ordenación de la normativa aplicable a los tratamientos con fines

jurisdiccionales efectuados por la jurisdicción penal (LOPJ, leyes procesales y

la futura ley orgánica de transposición de la Directiva) debería tener el debido

reflejo en el artículo 236 bis LOPJ, cuya redacción debe, por lo demás,


Secretaría General


actualizarse de acuerdo con el vigente marco normativo de protección de

datos, a través de la correspondiente disposición final en el Anteproyecto.

43.- Con el fin de reflejar el específico marco normativo aplicable a la

jurisdicción penal, debería introducirse un segundo párrafo en el artículo 236

bis LOPJ coherente con lo previsto en el artículo 2.5 APLO. En este sentido,

su posible tenor podría ser el siguiente: «En el ámbito de la jurisdicción penal,

los tratamientos efectuados con fines de prevención, investigación, detección

o enjuiciamiento de infracciones penales o de ejecución de sanciones penales

se regirán por lo dispuesto en el presente Capítulo y las leyes procesales y,

supletoriamente, por lo dispuesto en la Ley Orgánica de protección de datos

personales tratados para fines de prevención, detección, investigación o

enjuiciamiento de infracciones penales y de ejecución de sanciones penales,

así como de protección y prevención frente a las amenazas contra la

seguridad pública».

44.- El artículo 2.6 del APLO delimita el marco normativo que debe regir

los tratamientos de la fiscalía que caen dentro del ámbito de aplicación de la

Directiva, en los siguientes términos:

«Los tratamientos que se lleven a cabo por el Ministerio Fiscal en el

ámbito del artículo 1 se regirán por lo dispuesto en el apartado anterior

y por la Ley 50/1981, de 30 de diciembre, por la que se regula el

Estatuto Orgánico del Ministerio Fiscal.»

45.- De acuerdo con el precepto transcrito, la normativa aplicable a los

tratamientos de la fiscalía con fines de prevención, investigación, detección o

enjuiciamiento de infracciones penales o de ejecución de sanciones penales

estaría integrada, por este orden, por la LOPJ, las leyes procesales penales,

lo previsto en el capítulo III de la Ley orgánica resultante del Anteproyecto

examinado, y, por otro lado, por lo dispuesto en el EOMF.

46.- En líneas generales, esta previsión del prelegislador es conforme con la

Directiva y está en línea con el planteamiento de la Fiscalía General del Estado

expresado en la Instrucción 2/2019, sobre la protección de datos en el ámbito

del Ministerio Fiscal: el responsable y el Delegado de Protección de Datos.

47.- En primer lugar, la Directiva permite que los Estados miembros prevean

una regulación específica para los tratamientos efectuados por las

«autoridades judiciales independientes», concepto con el que se pretende


Secretaría General


abarcar la institución del Ministerio Fiscal, tal y como se ha expuesto más

arriba (considerandos 20, 49 y 80 de la Directiva).

48.- En segundo lugar, en la Instrucción se pone de manifiesto que la

actuación del Ministerio Fiscal «se desarrolla fundamentalmente en el

contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al

cumplimiento de su misión “de promover la acción de la justicia en defensa

de la legalidad, de los derechos de los ciudadanos y del interés público

tutelado por la ley, de oficio o a petición de los interesados, así como velar

por la independencia de los Tribunales, y procurar ante éstos la satisfacción

del interés social” (arts. 124 CE y 2 EOMF)». De este modo, la intervención

del Ministerio Fiscal en los procedimientos judiciales penales incoados, las

diligencias de investigación o la tramitación del procedimiento previsto en el

Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los

menores, se inscribirían en el ámbito de aplicación de la Directiva y darían

lugar a tratamientos de datos con fines jurisdiccionales o

cuasijurisdiccionales, tal y como se expone en la referida Instrucción.

49.- Ahora bien, debe advertirse que la remisión a la LOPJ como norma

reguladora de los tratamientos de datos con fines jurisdicciones llevados a

cabo por el Ministerio Fiscal en el ejercicio de sus funciones constitucionales

tiene como efecto situar este tipo de tratamientos bajo la competencia del

Consejo General del Poder Judicial como autoridad de control respecto de los

tratamientos con fines jurisdiccionales (art. 236 nonies.1 LOPJ).

50.- Ciertamente, el artículo 8.3 de la Carta exige, como uno de los

contenidos del derecho fundamental a la protección de datos, el sometimiento

de los tratamientos a una autoridad de control independiente. Por su parte,

el Tribunal de Justicia ha subrayado como elemento esencial de la efectividad

del derecho la garantía de la independencia de la autoridad de control

(sentencia de 9 de marzo de 2010 (Gran Sala), Comisión/Alemania, C-

518/07, EU:C:2010:125, par. 23; sentencia de 16 de octubre de 2012 (Gran

Sala), Comisión/Austria, C-614/10, EU:C:2012:631, par. 37; sentencia de 8

de abril de 2014 (Gran Sala), Comisión/Hungría, C-288712, EU:C:2014:237,

par. 48).

51.- La garantía de independencia, en la apreciación del Tribunal, debe

asegurar que la autoridad de control pueda ejercer sus funciones sin

influencia externas, de modo que se excluya toda orden o influencia externa

con independencia de la forma que revista, directa o indirecta, que pudiera


Secretaría General


orientar sus decisiones y, en consecuencia, poner en peligro el cumplimiento

de la tarea que corresponde a dichas autoridades de establecer un justo

equilibrio entre la protección del derecho a la intimidad y la libre circulación

de datos personales (sentencia Comisión/Alemania, par. 30,

Comisión/Austria, par. 41 y 43, Comisión/Hungría, par. 51). Condición

necesaria de la garantía de independencia es la independencia funcional, esto

es que la autoridad de control no esté sujeta a instrucción alguna en el

ejercicio de sus funciones, pero no es condición suficiente. En efecto, según

el Tribunal de Justicia, la mera posibilidad de que las autoridades de tutela

del Estado puedan ejercer influencia política sobre las decisiones de las

autoridades de control es suficiente para obstaculizar el ejercicio

independiente de las funciones de éstas. En efecto, por un lado, podría darse

en tal caso una «obediencia anticipada» de las autoridades de control a la

vista de la práctica decisoria de la autoridad de tutela. Por otro, habida cuenta

del papel de guardianas del derecho a la intimidad que asumen las

autoridades de control, sus decisiones y, por tanto, ellas mismas, deben estar

por encima de toda sospecha de parcialidad (sentencia Comisión/Hungría p.

53). El RGPD ha incorporado tales exigencias de independencia de la

autoridad de control en la sección 1 del capítulo VI integrada por los artículos

51 a 54. En particular, el artículo 52.2 del RGPD dispone que «[e]l miembro

o los miembros de cada autoridad de control serán ajenos, en el desempeño

de sus funciones y en el ejercicio de sus poderes de conformidad con el

presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y

no solicitarán ni admitirán ninguna instrucción».

52.- No cabe duda de que el CGPJ como autoridad de control cumple los

estándares de independencia exigidos por la jurisprudencia del Tribunal de

Justicia. Desde este punto de vista, el control por parte de este órgano

constitucional del cumplimiento de la normativa de protección de datos en los

tratamientos con fines jurisdiccionales efectuados por el Ministerio Fiscal no

ofrece dudas desde la perspectiva del artículo 8.3 de la Carta.

53.- Sin embargo, debe ponerse de manifiesto que la Instrucción 2/2019 ha

señalado, respecto de la autoridad de control, que cuando el tratamiento se

ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra

sometido al control de la Agencia Española de Protección de Datos (AEPD),

mientras que «para el tratamiento realizado por el MF en cumplimiento de las

funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla

la posibilidad de creación de un organismo específico en el MF que asuma

esta función». En este sentido, parece conveniente que el prelegislador aclare


Secretaría General


la opción deseada respecto de la autoridad de control de los tratamientos

realizados por el Ministerio Fiscal, opción que deberá respetar, en todo caso,

la garantía de independencia del órgano por imperativo del artículo 8.3 de la

Carta, en los términos establecidos por la jurisprudencia del Tribunal de

Justicia, y el RGPD, y mediante una norma con rango de ley orgánica.

Además, esa opción habría de ponderarse en el contexto de la anunciada

reformulación del proceso penal y de la posición del Ministerio Fiscal para

proporcionar a esta Institución una posición de independencia equiparable a

la de otros países europeos. Todo ello sin olvidar las consideraciones que al

respecto hizo el TJUE en su Sentencia de 27 de mayo de 2019, Fiscalía de

Lübeck, sobre los asuntos acumulados C-508/18 y otros.

54.- Se ha de destacar la ausencia de mención en la delimitación del ámbito

de aplicación del Anteproyecto a los tratamientos efectuados por el Tribunal

de Cuentas, al que corresponde el enjuiciamiento de la responsabilidad

contable en que incurran quienes tengan a su cargo el manejo de caudales o

efectos públicos, constituyendo el enjuiciamiento contable, jurisdicción propia

del Tribunal de Cuentas, necesaria e improrrogable, exclusiva y plena, que

se ejerce respecto de las cuentas que deban rendir quienes recauden,

intervengan, administren, custodien, manejen o utilicen bienes, caudales o

efectos públicos, conforme a lo dispuesto en la Ley Orgánica 2/1982, de 12

de mayo, del Tribunal de Cuentas y en la Ley 7/1988, de 5 de abril, de

Funcionamiento del Tribunal de Cuentas.

55.- El Capítulo III del APLO regula los derechos de las personas y se divide

en dos secciones, la primera dedicada al régimen general, integrada por los

artículos 13 a 18, y la segunda que contiene el régimen especial establecido

en el artículo 19, intitulado «Condiciones especiales de ejercicio de los

derechos de los interesados como consecuencia de investigaciones y procesos

penales».

56.- El apartado 2 del artículo 19 dispone que «Cuando los datos sean objeto

de un tratamiento con fines jurisdiccionales del que sea responsable un

órgano del orden jurisdiccional penal, el ejercicio de los derechos de

información, acceso, rectificación y supresión se realizará de conformidad con

lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas

procesales». La norma proyectada es plenamente coherente con lo previsto

en el artículo 236 octies.1 LOPJ y encuentra habilitación en el artículo 18 de

la Directiva.


Secretaría General


57.- El apartado 1 del artículo 19, por su parte, prevé que «El ejercicio de

los derechos de información, acceso, rectificación y supresión a los que se

hace referencia en los artículos anteriores se llevará a cabo de conformidad

con las normas procesales penales cuando los datos personales figuren en

una resolución judicial, o en un registro, diligencias o expedientes tramitados

en el curso de investigaciones y procesos penales». No resulta fácilmente

identificables los supuestos de aplicación de esta regla diferenciados y

distinguibles de los casos de tratamientos con fines jurisdiccionales, tal y

como se definen en al artículo 236 ter.1 LOPJ, esto es, datos que se

encuentren incorporados a los procesos de que conozcan juzgados y

tribunales y su finalidad se relacione directamente con el ejercicio de la

potestad jurisdiccional.

58.- Un supuesto posible de aplicación sería el del ejercicio de acceso a una

resolución judicial dictada en un proceso penal concluido y archivado. En este

caso, la remisión a las «normas procesales penales» prevista en el artículo

19.1 APLO resultaría equívoca, pues el acceso a las resoluciones judiciales en

procesos conclusos está regulado, con carácter general, en los artículos 235,

235 bis y 266 LOPJ, desarrollados en los artículos 4 y 5 del Reglamento

1/2005, de los aspectos accesorios de las actuaciones judiciales, aprobado

por Acuerdo de 15 de septiembre de 2005, del Pleno del Consejo General del

Poder Judicial. Por ello, se considera más acertado que la remisión se realice

a las «normas procesales».

59.- El artículo 20 regula con carácter general la obligaciones del

responsable del tratamiento y dispone que éste «aplicará las medidas

técnicas y organizativas apropiadas para garantizar que el tratamiento se

lleve a cabo de acuerdo con esta ley orgánica y con lo previsto en la

legislación sectorial y en sus normas de desarrollo, así como, en los supuestos

previstos en el artículo 18 [sic, debe decir 19], en la Ley Orgánica 6/1985,

de 1 de julio, o en la legislación procesal que resulte de aplicación. Tales

medidas se revisarán y actualizarán cuando resulte necesario.»

60.- El precepto transcrito tiene, entre sus destinarios, a los órganos

jurisdiccionales y las oficinas judiciales del orden penal que, de acuerdo con

el artículo 236 sexies LOPJ, son los responsables del tratamiento de datos

con fines jurisdiccionales. Esta es la única norma del articulado del APLO que,

fuera de los artículos 2.5 y 19.2, tiene como destinatarios a los órganos

jurisdiccionales. Habida cuenta de que el APLO parte de que la Ley Orgánica

proyectada sólo será aplicable con carácter supletorio a los órganos


Secretaría General


jurisdiccionales en el ámbito de aplicación del capítulo III de la Directiva, no

resulta coherente con este planteamiento que el artículo 20 contenga

obligaciones para juzgados y tribunales como responsables del tratamiento.

61.- En este sentido, parece oportuno que la obligación de aplicar las medidas


lleve a cabo de acuerdo con lo previsto en la LOPJ y las normas procesales se

introduzca directamente en el lugar que resulta apropiado, esto es, el artículo

236 sexies LOPJ.

62.- El artículo 41 del APLO regula las autoridades de control. No se

entiende bien el sentido de este precepto, ya que, por un lado, contiene

previsiones innecesarias sobre lo que ya establece la LOPDGDD, sin aportar

nada nuevo, y, por otra, omite la más importante, a los efectos de su

regulación, como es la mención al Consejo General del Poder Judicial como

autoridad de control sobre los tratamientos para fines jurisdiccionales. A

juicio de este Consejo, este artículo o bien debe suprimirse o, si se

mantuviera debería limitarse a decir que son autoridades de control las

previstas en la LOPDGDD y en la LOPJ. A ello podría añadir que este también,

es el competente para garantizar el derecho fundamental sobre los

tratamientos para fines jurisdiccionales del Ministerio Fiscal o, en su caso,

aludir al órgano específico que se cree al efecto, cuestión sobre la que ya se

ha expresado este informe.

63.- El artículo 46 del APLO regula el derecho a indemnización por entes

del sector público. En su apartado 3 se prevé que «Cuando se trate de ficheros

de una autoridad pública judicial, la responsabilidad se exigirá de acuerdo con

la legislación reguladora del régimen de responsabilidad previsto en la Ley

Orgánica 6/1985, de 1 de julio». La remisión debe entenderse efectuada al

régimen de responsabilidad patrimonial de la Administración de Justicia

previsto en los artículos 292 y siguientes de la LOPJ, donde se regula el

derecho de indemnización por funcionamiento anormal de la Administración

de Justicia y por error judicial.

64.- El centro de imputación del daño o lesión derivado del incumplimiento

de lo dispuesto en la ley orgánica se sitúa en «los ficheros de una autoridad

pública judicial». Por un lado, la referencia a ficheros debería sustituirse por

la de tratamientos, por ser el término omnicomprensivo empleado en la

normativa de protección de datos. Por otro lado, el concepto de autoridad

pública judicial resulta excesivamente genérico en la medida en que parece

incluir todos los supuestos de tratamientos efectuados por el Ministerio Fiscal


Secretaría General


que entren en el ámbito de aplicación de la Directiva, dado que en la

economía de la norma de la Unión el término autoridad pública judicial incluye

a la Fiscalía.

65.- De acuerdo con la jurisprudencia, la desconexión de la actuación de la

Fiscalía con un concreto procedimiento judicial determina que nos

encontremos ante un supuesto ajeno a la responsabilidad patrimonial por

funcionamiento anormal de la Administración de Justicia. En este sentido,

cabe citar la Sentencia de la Sala de lo Contencioso-Administrativo de la

Audiencia Nacional de 24 de noviembre de 2009 (ECLI:ES:AN:2009:5291) en

la que se afirma:

«Tampoco puede encuadrarse en el ámbito de la responsabilidad

patrimonial por funcionamiento anormal de la Administración de

Justicia, la actuación del Ministerio Fiscal en la tramitación de las

diligencias preliminares nº 8/04, instruidas por la Sección de Menores

de la Fiscalía de la Audiencia Nacional, ya que, como hemos

manifestado anteriormente, el funcionamiento "anormal" de la

Administración de Justicia, sustrato de esta concreta modalidad de

responsabilidad patrimonial, ha de darse en el desarrollo de un

procedimiento judicial, y aunque el Ministerio Fiscal aparezca integrado

en el Poder Judicial con autonomía funcional, las diligencias de

investigación de la Fiscalía son independientes y aparecen sustraídas

al concreto conocimiento y al control directo de la Autoridad Judicial,

siendo previas al procedimiento judicial, de manera que dichas

diligencias no se judicializan por sí mismas, si no concluyen con el

efectivo ejercicio de la oportuna acción ante el órgano jurisdiccional.

En definitiva, por la misma razón que no puede llevarse al

funcionamiento anormal de la Administración de Justicia la

investigación seguida por las fuerzas de orden público plasmada

posteriormente en un atestado policial que integra el acto de iniciación

de las diligencias judiciales, no puede llevarse al funcionamiento de la

Administración de Justicia la investigación del Ministerio Fiscal previa a

las actuaciones judiciales, sin perjuicio, obviamente, de que la referida

actuación del Ministerio Fiscal pueda dar lugar a un supuesto de

responsabilidad patrimonial por el funcionamiento normal o anormal

de los servicios públicos.»


Secretaría General


66.- De acuerdo con lo expuesto, el tratamiento con fines jurisdiccionales,

en el que se podrían incluir, por ejemplo, las diligencias de investigación

efectuadas por el Ministerio Fiscal, no sería coextenso con el concepto de

funcionamiento de la Administración de Justicia a los efectos del régimen de

responsabilidad patrimonial regulado en los artículos 292 y siguientes de la

LOPJ, del que tales diligencias previas de investigación quedarían excluidas.

67.- Por ello, a los efectos de que el enunciado del artículo 46.3 del APLO se

ajuste lo más posible al presupuesto aplicativo del régimen de

responsabilidad patrimonial previsto en la LOPJ se propone sustituir «ficheros

de una autoridad pública judicial» por «tratamientos en el ámbito de la

Administración de Justicia».

68.- En línea con lo señalado anteriormente, la referencia a «ficheros de una

autoridad pública administrativa» debería sustituirse por «tratamientos

llevados a cabo por una autoridad pública administrativa».

69.- Finalmente, una última cuestión que debe ser abordada en este apartado

dedicado a las previsiones contenidas en el APLO sobre los tratamientos de

datos efectuados por los órganos jurisdiccionales es la modificación de la LOPJ

contenida en la disposición final tercera. La referida disposición introduce

un nuevo apartado tercero en el artículo 236 octies con la siguiente redacción:

«3. Contra la denegación de las solicitudes de ejercicio de los derechos

de acceso, rectificación, limitación y supresión en relación con los datos

tratados con fines jurisdiccionales se podrá interponer directamente

recurso contencioso-administrativo ante el órgano jurisdiccional

competente de acuerdo con lo previsto en la Ley 29/1998, de 13 de

julio, reguladora de la Jurisdicción Contencioso-administrativa.»

70.- La modificación propuesta no merece una valoración positiva. En primer

lugar, desde el plano estrictamente formal, adolece de notables deficiencias

técnicas. Se prevé un remedio judicial frente a actuaciones de juzgados y

tribunales de cualquier orden jurisdiccional cuyo conocimiento se atribuye a

la jurisdicción contencioso-administrativa, que constituye un evidente novum

respecto del ámbito de la jurisdicción contencioso-administrativa delimitado

en el artículo 1 de la LJCA.

71.- Para ser eficaz la pretensión del prelegislador, desde el punto de vista

formal, insistimos, debería ir acompañada de: a) la inclusión de la denegación


Secretaría General


de las solicitudes de ejercicio de los derechos de acceso, rectificación,

limitación y supresión en relación con los datos tratados con fines

jurisdiccionales en el apartado 3 del artículo 1 de la LJCA; b) la identificación

del acto susceptible de recurso; c) la determinación del o los órganos

competentes dentro del orden contencioso-administrativo, que, por razones

derivadas del principio de reserva de ley orgánica cualificada, debería tener

el correspondiente reflejo en la LOPJ; d) la regulación de las evidentes

especialidades de un procedimiento contencioso-administrativo dirigido

frente a una actuación de un órgano jurisdiccional.

72.- Nada de esto contiene el Anteproyecto, por lo que cabe considerar que

la modificación de la LOPJ en punto a introducir un procedimiento judicial de

tutela del derecho fundamental a la protección de datos respecto de los

tratamientos con fines jurisdiccionales no ha sido suficientemente meditada.

73.- Un análisis de fondo del texto proyecto revela las relevantes razones

que abogan por la no adopción de la propuesta.

74.- El artículo 236 octies.1 LOPJ establece que el ejercicio de los derechos

de acceso, rectificación, cancelación (rectius, supresión) y oposición (rectius,

limitación) respecto de los datos tratados con fines jurisdiccionales se

tramitarán conforme a las normas que resulten de aplicación al proceso en

que los datos fueron recabados, no siendo de aplicación las disposiciones

establecidas al efecto por la legislación vigente en materia de protección de

datos de carácter personal. De lo que se deduce que la norma parámetro que

deberá emplear el órgano de la jurisdicción contencioso-administrativa para

el control de la denegación de la solicitud del ejercicio del derecho se contiene

en las leyes procesales aplicables en los distintos órdenes jurisdiccionales, lo

cual dista mucho de la especialización del orden contencioso-administrativo

(art. 9.4 LOPJ).

75.- Se abren toda una serie de interrogantes sobre la articulación del

proyectado recurso contencioso-administrativo y el proceso judicial de base

en el que se produce la denegación del derecho: ¿debe esperarse a la

conclusión del proceso para recurrir o deberá suspenderse la tramitación de

este en tanto se resuelve el recurso contencioso? ¿Se tramitarán en paralelo

el proceso judicial y el recurso-contencioso? ¿Qué efectos producirá,

entonces, la sentencia dictada en éste sobre el proceso civil, penal o social?

¿Qué tratamiento deben tener las denegaciones de solicitudes de derechos

por órganos del orden contencioso-administrativo? El mecanismo


Secretaría General


procedimental proyectado se presenta como una fuente de dificultades y

conflictos.

76.- El derecho a la protección de datos es un derecho fundamental, sin duda,

frente a cuyas lesiones el interesado tiene el derecho a obtener tutela judicial

(art. 8 en relación con el art. 47 de la Carta y art. 18.4 en relación con el art.

24 y 53.2 CE). Así lo dispone tanto el artículo 79 del RGPD como el artículo

54 de la Directiva.

77.- En el ámbito del tratamiento de datos con fines jurisdiccionales el

derecho a obtener una resolución judicial fundada en Derecho que se

pronuncie sobre la eventual lesión del derecho a la protección de datos

imputable a un órgano jurisdiccional debe satisfacerse dentro del propio

orden jurisdiccional, de acuerdo con los medios de impugnación que prevea

la ley procesal aplicable. Desde este punto de vista, dado el carácter

transversal e intersticial del derecho a la protección datos, el tratamiento que

debe tener el control judicial de las lesiones de este derecho acaecidas en el

ámbito jurisdiccional se asemeja al del derecho a la tutela judicial efectiva,

donde las infracciones procesales se depuran dentro del propio orden

jurisdiccional a través de los medios de impugnación correspondientes.

78.- Es el legislador procesal el que establece los correspondientes equilibrios

entre el derecho a la protección de datos y el derecho a la tutela judicial y es

al juez de la ley procesal al que corresponde interpretar y aplicar esos

equilibrios, atendiendo a las concretas circunstancias del caso que pueden

atribuir un mayor peso a uno u otro derecho y decantar la decisión judicial.

79.- Más allá de lo anterior, debe recordarse que los interesados pueden

dirigirse al Consejo General del Poder Judicial como autoridad de control

formulando reclamaciones (art. 77 RGPD, art. 52 Directiva), cuyas

resoluciones son susceptibles de control jurisdiccional ante la Sala Tercera

del Tribunal Supremo (art. 638.2 LOPJ).

80.- En razón de lo expuesto, se considera oportuna la supresión de la

disposición adicional tercera.

b) Cumplimiento del principio de reserva de ley y de la correcta

transposición de la Directiva.


Secretaría General


81.- Desde este momento ha de ponerse de manifiesto que el Anteproyecto

remitido supone en gran medida una reproducción, a veces literal, de la

Directiva que se pretende transponer, llegando incluso a recoger, en el

artículo 38.1 del Anteproyecto, un mandato dirigido a «los Estados

miembros», en los mismos términos que la norma objeto de transposición.

82.- Esta transcripción es merecedora de objeción, pues la Directiva, si bien

recoge en algunos aspectos mandatos claros y precisos dirigidos a los Estados

miembros, en otros se caracteriza por emplear unos términos vagos y difusos

en una materia que, en cuanto afecta directa e intensamente a un derecho

fundamental muy vulnerable, requiere de una mayor dosis de precisión y

certeza. Por ese motivo, la transposición que afronta el Anteproyecto ha de

servir para definir y concretar esas previsiones carentes de un contenido

debidamente delimitado.

83.- Como importante parámetro de concreción a tener en cuenta por el

prelegislador ha de citarse la Sentencia del Pleno 76/2019, de 22 de mayo de

2019, dictada en el recurso de inconstitucionalidad 1405-2019, interpuesto

por el Defensor del Pueblo respecto del apartado primero del artículo 58 bis

de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general,

incorporado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de

datos personales y garantía de los derechos digitales, en tanto autorizaba a

los partidos políticos a recopilar datos personales relativos a las opiniones

políticas de las personas en el marco de sus actividades electorales,

(ECLI:ES:TC:2019:76), cuyo fundamentico jurídico 8 ha señalado que:

«[…] el alcance de nuestra doctrina sobre las garantías adecuadas, que

consiste en determinar si las garantías adecuadas frente al uso de la

informática deben contenerse en la propia ley que autoriza y regula

ese uso o pueden encontrarse también en otras fuentes normativas.

La cuestión solo puede tener una respuesta constitucional. La previsión

de las garantías adecuadas no puede deferirse a un momento posterior

a la regulación legal del tratamiento de datos personales de que se

trate. Las garantías adecuadas deben estar incorporadas a la propia

regulación legal del tratamiento, ya sea directamente o por remisión

expresa y perfectamente delimitada a fuentes externas que posean el

rango normativo adecuado. Solo ese entendimiento es compatible con

la doble exigencia que dimana del artículo 53.1 CE para el legislador

de los derechos fundamentales: la reserva de ley para la regulación del

ejercicio de los derechos fundamentales reconocidos en el capítulo


Secretaría General


segundo del título primero de la Constitución y el respeto del contenido

esencial de dichos derechos fundamentales.

Según reiterada doctrina constitucional, la reserva de ley no se limita

a exigir que una ley que habilite la medida restrictiva de derechos

fundamentales, sino que también es preciso, conforme tanto a

exigencias denominadas –unas veces– de predeterminación normativa

y –otras– de calidad de la ley como al respeto al contenido esencial del

derecho, que en esa regulación el legislador, que viene obligado de

forma primaria a ponderar los derechos o intereses en pugna,

predetermine los supuestos, las condiciones y las garantías en que

procede la adopción de medidas restrictivas de derechos

fundamentales. Ese mandato de predeterminación respecto de

elementos esenciales, vinculados también en último término al juicio

de proporcionalidad de la limitación del derecho fundamental, no puede

quedar deferido a un ulterior desarrollo legal o reglamentario, ni

tampoco se puede dejar en manos de los propios particulares.»

84.- Además, ha de recordarse que, tal como se desprende el artículo 1.3 de

la Directiva, el contenido de la misma configura el mínimo exigible de garantía

del derecho fundamental a la protección de datos en relación con los

tratamientos sometidos a su ámbito de aplicación, pudiendo las normas de

transposición incorporar garantías adicionales, pero nunca mermar el

régimen de protección del derecho fundamental plasmado en la Directiva. Por

tanto, un nivel de protección más alto derivado de las exigencias del principio

de predeterminación normativa o calidad de la ley ex artículo 53.1 CE es

perfectamente aplicable y exigible en la transposición de la Directiva.

85.- Por ese motivo, ha de remarcarse nuevamente la necesidad de que la

transposición que afronta el Anteproyecto ha de servir para definir y concretar

las previsiones de la Directiva en tanto sean genéricas y carentes de un

contenido debidamente delimitado. Como se pone de manifiesto en el

considerando 33 de la Directiva, cuando la directiva hace referencia al

«Derecho de un Estado miembro, base jurídica o medida legislativa debe ser

clara y precisa y su aplicación previsible para quienes estén sujetos a la

misma, tal y como exige la jurisprudencia del Tribunal de Justicia y del

Tribunal Europeo de Derechos Humanos».

86.- En tanto la norma proyectada, según el artículo 1.1 del

Anteproyecto, persigue el objetivo de regular el ejercicio el derecho


Secretaría General


fundamental (rectius, desarrollar el derecho fundamental pues ese es

concepto constitucional al que ligada la reserva de ley orgánica ex artículo

81.1 CE), reconocido por el artículo 18.4 de la Constitución, a la protección

de datos personales en relación a los tratamientos de datos llevados a cabo

por las autoridades competentes con fines de prevención, detección,

investigación o enjuiciamiento de infracciones penales o de ejecución de

sanciones penales, así como de protección y de prevención frente a las

amenazas contra la seguridad pública, estaríamos en presencia de un

objetivo de interés general de la Unión que puede justificar injerencias,

incluso graves, en los derechos fundamentales consagrados en los artículos

7 y 8 de la Carta, no pudiendo olvidar que la protección de la seguridad

pública contribuye también a la protección de los derechos y libertades de los

demás y que a este respecto, el artículo 6 CDFUE enuncia el derecho de toda

persona no sólo a la libertad, sino también a la seguridad (SSTJUE de 8 de

abril de 2014, Digital Rights Ireland y otros, C-293/12 y C-594/12,

EU:C:2014:238, apartados 42 y 44, y de 15 de febrero de 2016, N., C-601/15

PPU, EU:C:2016:84, apartado 53).

87.- Como señaló la Sentencia del Pleno del Tribunal Constitucional

199/2013, de 5 de diciembre (ECLI:ES:TC:2013:199):

«8. En cuanto a la exigencia de que la medida que supone una

injerencia en el derecho a la intimidad esté orientada a la consecución

de un fin constitucionalmente legítimo, con reiteración hemos afirmado

que lo es la investigación del delito y, en general, la determinación de

los hechos relevantes del proceso penal (SSTC 25/2005, de 14 de

febrero, FJ 6 y 206/2007, de 24 de septiembre, FJ 6), "pues la

persecución y castigo del delito constituye un bien digno de protección

constitucional, a través del cual se defienden otros como la paz social

y la seguridad ciudadana, bienes igualmente reconocidos en los arts.

10.1 y 104.1 CE" [SSTC 127/2000, de 16 de mayo, FJ 3 a); y

292/2000, de 30 de noviembre, FJ 9] y 73/2011, de 7 de noviembre,

FJ 2]».

88.- Conforme al apartado 2 del artículo 1 del texto remitido:

«2. El derecho fundamental que ostentan las personas físicas a la

protección de datos personales se ejercerá, en aquellas cuestiones que

le sean de aplicación, con arreglo a lo establecido en la Ley Orgánica

3/2018, de 5 de diciembre, de Protección de Datos Personales y


Secretaría General


garantía de los derechos digitales, siempre que el resultado de dicha

aplicación no sea contrario a los fines del tratamiento a los que se

refiere el apartado anterior.»

89.- El precepto transcrito parece establecer una relación entre la LOPDGDD

y el presente anteproyecto sobre la base del principio de especialidad de

modo que la ley general (la LOPDGDD) será aplicable al ejercicio del derecho

fundamental consagrado en el artículo 18.4 CE («en aquellas cuestiones que

le sean de aplicación», inciso ciertamente indeterminado) siempre que la

aplicación de aquella Ley Orgánica no contravenga los fines del tratamiento

de prevención, investigación, detección o enjuiciamiento de infracciones

penales o de ejecución de sanciones penales, incluidas la protección y la

prevención frente a las amenazas contra la seguridad pública. El precepto

atribuye un amplísimo margen de apreciación al aplicador a quien

corresponde determinar si el resultado de la aplicación de la LOPDGDD es

contrario o no a tales fines.

90.- La articulación de ambas leyes orgánicas de desarrollo del derecho

fundamental reconocido en el artículo 18.4 CE, como ley general y ley

especial, en un primer análisis, podría considerarse que no se compadece con

el principio de separación que establece el artículo 2.2.d RGPD, que excluye

la aplicación del Reglamento a los datos personales tratados por las

autoridades competentes para fines de prevención, investigación, detección


incluidas la protección y la prevención frente a las amenazas contra la

seguridad pública. Exclusión que ha sido recogida en el artículo 2.2.a de la

LOPDGDD. Ahora bien, en un análisis más detenido, cabe considerar que en

el marco de la transposición de la Directiva la norma nacional puede

establecer como supletoria la normativa interna de adaptación del RGPD, con

el límite de que esa aplicación supletoria no contradiga o desvirtúe lo

establecido en la Directiva.

91.- Por otra parte, desde la señalada perspectiva del Derecho interno y de

la jurisprudencia constitucional antes citada sobre el ámbito propio de la

reserva de ley orgánica, que ha de quedar circunscrito al desarrollo directo y

estricto del precepto constitucional que reconoce el correspondiente derecho

fundamental, el problema no es tanto que este admita un desdoblamiento

normativo en los términos que postula el Anteproyecto, sino que los límites

del mismo queden bien definidos. Que esto se haga en una, en dos o en más

leyes (ya ocurre como ahora veremos con la videovigilancia) no es relevante,


Secretaría General


siempre que haya una justificación para ello y en este caso la hay, según

dijimos al comienzo de este informe debido a la naturaleza de los bienes

jurídicos que este confronta con el derecho fundamental a la protección de

datos. Lo que importa es que los mayores límites que se impongan queden

definidos de la manera más precisa posible por el legislador orgánico, cosa

que, insistimos, el Anteproyecto no hace, sino que lo confía al aplicador de la

norma.

92.- La confusión de planos entre el objeto propio de la reserva de ley

orgánica del artículo 81.1 CE y ordinaria del artículo 53.1 CE se aprecia en el

artículo 1.1 del Anteproyecto. Según dice, «[e]sta ley orgánica tiene por

objeto regular el derecho fundamental, reconocido por el artículo 18.4 de la

Constitución […]». Este enunciado no es correcto ya que lo que la iniciativa

examinada se propone es, por un lado, el desarrollo con rango de ley orgánica

del artículo 18.4 CE, pero solo con respecto a una determinada categoría de

tratamientos, y por otro, la regulación, a través de normas con rango de ley

ordinaria, de su ejercicio en ese mismo ámbito. Por consiguiente, este

Consejo considera que ha de reformularse debidamente.

93.- El artículo 2 APLO define su ámbito de aplicación, las exclusiones de

determinados tratamientos y las autoridades competentes a los efectos de la

ley orgánica.

94.- El apartado 2 del artículo 2 incluye en el ámbito de aplicación de la ley

«al tratamiento de los datos personales procedentes de las imágenes y

sonidos obtenidos mediante la utilización de cámaras y videocámaras por las

Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la

vigilancia y control en los centros penitenciarios, así como para el control,

regulación, vigilancia y disciplina del tráfico con los fines del artículo 1»,

declarando que fuera de estos supuestos dichos tratamientos se regirán por

su legislación específica y, supletoriamente, por el RGPD.

95.- Esta inclusión en el ámbito de aplicación del Anteproyecto guarda

conexión con el mandato recogido en el apartado 6 del artículo 22,

«[t]ratamientos con fines de videovigilancia», de la Ley Orgánica 3/2018,

conforme al cual (el subrayado es nuestro):

«6. El tratamiento de los datos personales procedentes de las

imágenes y sonidos obtenidos mediante la utilización de cámaras y

videocámaras por las Fuerzas y Cuerpos de Seguridad y por los


Secretaría General


órganos competentes para la vigilancia y control en los centros

penitenciarios y para el control, regulación, vigilancia y disciplina del

tráfico, se regirá por la legislación de transposición de la Directiva (UE)

2016/680, cuando el tratamiento tenga fines de prevención,


ejecución de sanciones penales, incluidas la protección y la prevención

frente a las amenazas contra la seguridad pública. Fuera de estos

supuestos, dicho tratamiento se regirá por su legislación específica y

supletoriamente por el Reglamento (UE) 2016/679 y la presente ley

orgánica.»

96.- La redacción del apartado 2 del artículo 2 del Anteproyecto debe

cohonestarse con el artículo 22.6 LOPDGDG en el sentido de incorporar como

norma supletoria junto al RGPD la LOPGDG. Más allá de esta observación

técnica, el precepto adolece de imprecisión en dos puntos relevantes.

97.- En primer lugar, no resulta clara la determinación del conjunto

normativo aplicable a la utilización por las Fuerzas y Cuerpos de Seguridad

de videocámaras para grabar imágenes y sonidos en lugares públicos,

abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar

la convivencia ciudadana, la erradicación de la violencia y la utilización

pacífica de las vías y espacios públicos, así como de prevenir la comisión de

delitos, faltas e infracciones relacionados con la seguridad pública. Este uso

de videocámaras por las Fuerzas y Cuerpos de Seguridad está actualmente

regulado por la Ley Orgánica 4 /1997, de 4 de agosto, por la que se regula

la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en

lugares públicos y el Real Decreto 596/1999, de 16 de abril, y la Agencia

Española de Protección de Datos ha venido sosteniendo que resulta

supletoriamente aplicable el RGPD, por lo que constituiría un tratamiento con

fines de videovigilancia que caería fuera del ámbito de la Directiva 2016/679.

El artículo 2.2 del Anteproyecto introduce confusión en este extremo y

debería el prelegislador introducir la precisión necesaria sobre este aspecto.

98.- En segundo lugar, respecto de la utilización de cámaras y videocámaras

para el control, regulación, vigilancia y disciplina de tráfico sucede otro tanto,

al producirse inseguridad jurídica sobre la normativa aplicable a este tipo de

videovigilancia. Debería establecerse algún criterio objetivo y accesible, más

allá de la referencia a los fines del tratamiento, que delimite claramente

cuando el uso de cámaras en el contexto del control y vigilancia del tráfico

queda sujeto a su normativa específica (Real Decreto Legislativo 6/2015, de


Secretaría General


30 de octubre, por el que se aprueba el texto refundido de la Ley sobre

Tráfico, Circulación de Vehículos a Motor y Seguridad Vial) y supletoriamente

al RGPD y la LOPDGDG y cuando resultará de aplicación la Directiva 2016/680

y la ley orgánica de transposición.

99.- El artículo 2.3 del Anteproyecto declara que “[s]erá autoridad

competente, a los efectos de esta ley orgánica, toda autoridad pública que

tenga competencias encomendadas legalmente, para la consecución de los

fines del artículo 1», ajustándose a la definición recogida en el artículo 3.7.a)

de la Directiva. De esta forma, la definición de autoridad competente, a los

efectos del texto proyectado, se recoge en el artículo 2.3 APLO, advirtiéndose

por ello la improcedencia de la remisión, efectuada en el artículo 3 APLO, a

la definición de «autoridad competente», por remisión al RGPD que además

no incorpora en el listado de definiciones del artículo 4 la de «autoridad

competente».

100.- El apartado 3 del artículo 2 del Anteproyecto incluye como autoridades

competentes, en el ámbito de sus respectivas competencias a las Fuerzas y

Cuerpos de Seguridad, las Administraciones Penitenciarias, la Agencia Estatal

de Administración Tributaria, la Comisión de Prevención del Blanqueo de

Capitales e Infracciones Monetarias y la Comisión de Vigilancia de Actividades

de Financiación del Terrorismo. Al respecto cabe señalar que la inclusión

genérica de toda la Agencia Estatal de Administración Tributaria no parece

ajustarse a la definición de autoridad competente contenida en el artículo 3.7

de la Directiva, en atención a la amplitud de fines de la Agencia respecto de

los específicos contemplados en la norma europea. La inclusión solo tendría

sentido si se acotara debidamente y, si así se hiciera, habría que hacer los

mismo con las autoridades equivalentes de los territorios forales por virtud

de la Disposición Adicional Primera CE, el Estatuto de Autonomía para el País

Vasco y la Ley Orgánica de Reintegración y Amejoramiento de Régimen Foral

de Navarra.

101.- En el apartado 4 del artículo 2 APLO se sugiere aclarar la referencia

a «los tratamientos que se lleven a cabo por sujetos distintos de las

autoridades competentes y cuyo fin sea la protección y prevención frente a

las amenazas contra las infraestructuras críticas», a la luz de la Ley 8/2011,

de 28 de abril, por la que se establecen medidas para la protección de las

infraestructuras críticas y, especialmente, de la definición a efectos penales

de infraestructura crítica, como «elemento, sistema o parte de este que sea

esencial para el mantenimiento de funciones vitales de la sociedad, la salud,


Secretaría General


la seguridad, la protección y el bienestar económico y social de la población

cuya perturbación o destrucción tendría un impacto significativo al no poder

mantener sus funciones», introducida en el artículo 264.2,4ª del Código Penal

por la L.O. 1/2015, de 30 de marzo, por la que se modifica la L.O. 10/1995,

de 23 de noviembre, del Código Penal, al abordar la transposición de la

Directiva 2013/40/UE, relativa a los ataques contra los sistemas de

información.

102.- El artículo 2, apartado 7, letra e) APLO excluye del ámbito de

aplicación de la ley orgánica los tratamientos de datos personales «relativos

a la lucha contra el terrorismo que afecten a la Seguridad Nacional, y los

relativos a las formas graves de delincuencia organizada dirigida a

desestabilizar gravemente el normal funcionamiento del Estado y de las

Instituciones», señalando que «[a] las actividades de tratamiento recogidas

en este apartado no les será de aplicación ni el Reglamento (UE) 2016/679

del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ni la Ley

Orgánica 3/2018, de 5 de diciembre, sino que estarán sujetos a lo dispuesto

en la normativa sobre materias clasificadas y seguridad de la información»,

en tanto, como explica el Considerando 14 de la Directiva (y en términos

similares el Considerando 16 RGPD, en lo que atañe al Reglamento), «la

presente Directiva no debe aplicarse al tratamiento de datos personales en el

marco de una actividad que no esté comprendida en el ámbito de aplicación

del Derecho de la Unión, no deben considerarse comprendidas en el ámbito

de aplicación de la presente Directiva las actividades relacionadas con la

seguridad nacional […]”, si bien “[…] en estos supuestos el responsable del

fichero comunicará previamente su existencia y su finalidad a la Autoridad de

control».

103.- Por su parte, el párrafo cuarto del apartado IV de la Exposición de

Motivos señala que «Se excluyen expresamente del ámbito de aplicación

ciertos tratamientos, como […] los relativos a la lucha contra el terrorismo y

a las formas graves de delincuencia organizada dirigida a desestabilizar

gravemente el normal funcionamiento del Estado y de las instituciones, y los

sometidos a la normativa sobre materias clasificadas y sobre la Defensa

Nacional» (el subrayado es nuestro).

104.- Finalmente, la MAIN (página 17) señala al respecto que (el remarcado

es nuestro):

«[c]onviene advertir que se excluye del ámbito de aplicación de esta

ley orgánica algunos tratamientos. Es el caso de los tratamientos de


Secretaría General


datos sometidos a la normativa sobre materias clasificadas, la Defensa

o la Seguridad Nacional, y comprende los relativos a la lucha contra el

terrorismo y a las formas graves de delincuencia organizada. Tampoco

serán aplicables en relación a esta materia, las disposiciones del

Reglamento de protección de datos, ni de la Ley Orgánica 3/2018, de

5 de diciembre como consecuencia del propio acervo de la Unión

Europea.

No obstante, a fin de evitar que dichos tratamientos queden huérfanos

de una regulación específica, se establece que estarán sujetos a lo

dispuesto en la normativa sobre materias clasificadas y seguridad de

la información. Asimismo, a fin de garantizar la actuación de las

autoridades competentes en materia de lucha contra el terrorismo y la

delincuencia organizada, se mantiene el sistema dispuesto en el

artículo 2.2c) de la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal. En virtud del cual, es

obligatorio comunicar, previamente, a la autoridad de control, la

existencia de esos ficheros, sus características generales y su

finalidad.»

105.- De lo expuesto se desprende una cierta discordancia entre la

delimitación de los tratamientos excluidos, de donde deriva la conveniencia

de unificar las referencias recogidas en las diferentes partes del texto

proyectado y en la MAIN que lo acompaña.

106.- Resulta importante destacar que los delitos de terrorismo y la

delincuencia grave constituyen violaciones inadmisibles de los valores

universales de la dignidad humana, la libertad, la igualdad y la solidaridad, y

el disfrute de los derechos humanos y de las libertades fundamentales, en los

que se basa la Unión; atacando la democracia y el Estado de Derecho,

principios que son comunes a los Estados miembros y en los que se

fundamenta la Unión (Directiva (UE) 2017/541 del Parlamento Europeo y del

Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y

por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se

modifica la Decisión 2005/671/JAI del Consejo).

107.- Debe recordarse, asimismo, que el Considerando (25) de la Directiva

(UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de

2017, relativa a la lucha contra el terrorismo y por la que se sustituye la

Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión

2005/671/JAI del Consejo pone de manifiesto que «[p]ara reforzar el marco


Secretaría General


existente sobre intercambio de información en la lucha contra el terrorismo

como establece la Decisión 2005/671/JAI, los Estados miembros deben

garantizar que la información pertinente obtenida por sus autoridades

competentes en el marco de procesos penales, por ejemplo, las autoridades

policiales, los fiscales o los jueces de instrucción, se ponga a disposición de

las autoridades competentes respectivas de otros Estados miembros para los

que se considere que dicha información podría ser pertinente. Como mínimo,

dicha información pertinente debe incluir, en su caso, la información que se

transmite a Europol o a Eurojust con arreglo a la Decisión 2005/671/JAI. Lo

anterior está supeditado a las normas de la Unión sobre protección de datos

establecidas en la Directiva (UE) 2016/680 del Parlamento Europeo y del

Consejo, y se entiende sin perjuicio de las normas de la UE sobre cooperación

entre autoridades competentes nacionales en el marco de los procesos

penales, como las establecidas en la Directiva 2014/41/UE del Parlamento

Europeo y del Consejo o la Decisión marco 2006/960/JAI».

108.- A diferencia de los delitos de terrorismo, respecto de los que se

entiende que existe una definición clara y precisa en los tipos recogidos en el

capítulo VII, del título XXII, del libro II del Código Penal, que fueron objeto

de una importante modificación a través de la Ley Orgánica 2/2015, de 30 de

marzo, por la que se modifica la Ley Orgánica 10/1995 en materia de

terrorismo, no ocurre lo mismo con el terrorismo «que afecte a la Seguridad

Nacional» ni con «las formas graves de delincuencia organizada dirigida a

desestabilizar gravemente el normal funcionamiento del Estado y de las

instituciones» a que se refiere el artículo 2.7.e) APLO por lo que ha de

recordarse la necesidad, reiterada por la jurisprudencia, de que en esta

materia las normas sean claras, precisas y limitadas estrictamente a lo

necesario. Es necesario, por lo tanto, que el Anteproyecto concrete

debidamente los tratamientos de datos personales que quedan fuera del

ámbito de aplicación de la Ley.

109.- La técnica empleada por el artículo 3 del Anteproyecto para

establecer las definiciones resulta incorrecta, pues o bien se incorporan

expresamente las definiciones contenidas en la Directiva 2016/680 o bien se

remite a lo establecido en esta norma europea. En el contexto de

transposición de esta Directiva, es erróneo remitir a las definiciones

contenidas en el RGPD, a pesar de la similitud de ambas normas en cuanto a

las definiciones.


Secretaría General


110.- Abre el Capítulo II, «[p]rincipios», el artículo 4 APLO, que lleva por

rúbrica «[p]rincipios relativos al tratamiento de datos personales», viene a

reproducir lo dispuesto en el artículo 4 de la Directiva. En relación con el

apartado 4 del artículo 4 APLO que señala que «[e]l responsable del

tratamiento deberá garantizar el cumplimiento de lo establecido en este

artículo», ha de entenderse que la incorporación al Derecho español de la

previsión establecida en el artículo 4.4 de la Directiva no se ha efectuado con

la amplitud exigida por la norma que se transpone toda vez que ésta exige al

responsable del tratamiento ser «capaz de demostrar el cumplimiento» de lo

dispuesto en el referido precepto

111.- El artículo 5 APLO, sin equivalente en la Directiva, se refiere a la

«[c]olaboración con las autoridades competentes», debiendo destacar que el

apartado 3 excluye del deber de colaboración a que se refieren los apartados

1 y 2 del precepto comentado, aquellos supuestos en los que resulte exigible

autorización judicial para recabar los datos, por tanto, con carácter general,

todos aquellos supuestos en los que resulten afectados derechos

fundamentales, respecto de los que la Constitución dispone una reserva de

autorización judicial de la injerencia bien expresamente (y con carácter

absoluto, ex arts. 18.2. y .3 CE) bien implícitamente (y con carácter relativo,

ex art. 18.1 CE, en los términos expuestos por las SSTC 37/1989 y 207/1996,

y desde entonces doctrina constante).

112.- Ha de ponerse de manifiesto que la referencia a la exigencia de

autorización judicial, atendida la redacción del apartado 2 del artículo 5,

resulta inadecuada toda vez que parece aplicarse únicamente a las

Administraciones públicas y no a «cualquier persona física o jurídica» Por lo

demás, puede plantearse si habría de entenderse incluida en lo dispuesto en

el apartado 3 del mismo precepto, al disponer con carácter general que «[n]o

será de aplicación lo dispuesto en los apartados anteriores cuando,

legalmente, sea exigible la autorización judicial para recabar los datos

necesarios a los fines del artículo 1».

113.- Debe hacerse notar, igualmente, la diferencia si la afectación de los

derechos reconocidos en el artículo 18.1 de la Constitución viene referida a

personas físicas o jurídicas, públicas o privadas, debiendo recordar que de

conformidad con los numerosos pronunciamientos del Tribunal Constitucional

al respecto, como los recogidos en las sentencias 64/1988, de 12 de abril;

197/1988, de 24 de octubre; 91/1995, de 19 de junio o 175/2001, de 26 de

julio, las personas jurídico-públicas no son titulares de derechos


Secretaría General


fundamentales (salvo, las específicos supuestos del derecho a la tutela

judicial efectiva contemplados en la doctrina constitucional, SSTC 175/2001,

de 26 de julio, y 63/2011, de 16 de mayo).

114.- Por lo que respecta a la exigencia de que “[l]a petición de la autoridad

competente deberá ser concreta y específica y contener la motivación que

acredite su relación con los indicados supuestos”, a que se refiere el artículo

5.2 APLO, debe entenderse vinculada a la necesidad de que se trate de datos

que estén especificados, en tanto conocidos por la requerida como

consecuencia del ejercicio de su actividad, e individualizados, de manera que

el requerimiento contenga de forma precisa la obligación de suministrar cierta

y concreta información, de manera análoga a lo exigido por la Jurisprudencia

de la Sala Tercera del Tribunal Supremo en relación con los requerimientos

individualizados de la Administración Tributaria (información por captación)

derivados de lo dispuesto en el artículo 93 de la Ley 58/2003, de 17 de

diciembre, General Tributaria y en el artículo 30 del RD 1065/2007, de 27 de

julio, por el que se aprueba el Reglamento General de las actuaciones y los

procedimientos de gestión e inspección tributaria y de desarrollo de las

normas comunes de los procedimientos de aplicación de los tributos. Por

todas, STS 1810/2015, de 22 de abril (ECLI:ES:TS:2015:1810).

115.- Por tanto, la obligación de proporcionar a las autoridades competentes

que los soliciten, los datos, informes, antecedentes y justificantes, a que se

refieren los apartados 1 y 2 del artículo 5.2 APLO no puede conllevar la

atribución de facultades ilimitadas a las referidas autoridades competentes,

debiendo introducirse al efecto en la norma proyectada de parámetros que

permitan comprobar que se trata de un acceso individualizado y

suficientemente motivado, siempre dentro del ámbito competencial de la

autoridad competente de que se trate, por ejemplo en términos similares a

los establecidos en la Sentencia del Tribunal Constitucional 110/1984, de 26

de noviembre (ECLI:ES:TC:1984:110).

116.- La dicción del apartado 3 del artículo 5 del Anteproyecto, al

establecer que no será de aplicación lo dispuesto en los apartados anteriores,

aparentemente permitiría comunicaciones masivas de datos o de

interconexiones o volcados de ficheros si se cuenta con autorización judicial.

Debe recordarse que toda injerencia o restricción de un derecho fundamental,

aún judicialmente autorizada, debe respetar el principio de proporcionalidad,

esto es, debe ser idónea, necesaria y proporcionada en relación con un fin

constitucionalmente legítimo. Como ha puesto de manifiesto el Tribunal

Constitucional en relación con una orden judicial que reclamaba el listado de


Secretaría General


todos los clientes de una entidad financiera que hubieran contratado

determinados productos financieros, una medida restrictiva del derecho a la

protección de datos como esta «ha de adoptarse mediante resolución

especialmente motivada, exteriorizando los elementos de juicio en los que se

basa la resolución, de forma que las razones fácticas y jurídicas queden

perfectamente expuestas y, además, debe someterse a un estricto juicio de

proporcionalidad» (STC 96/2012, de 7 de mayo, FJ 11). Por ello, es

conveniente introducir en el artículo 5.3 del Anteproyecto una expresa

referencia al principio de proporcionalidad como límite que deberá respetar

la autorización judicial.

117.- Dado que el artículo 5.5 APLO prevé que, a fin de garantizar la

actividad investigadora, los sujetos a los que el ordenamiento jurídico

imponga un específico deber de colaboración con las autoridades

competentes para el cumplimiento de los fines establecidos en el artículo 1

no informarán al interesado de la transmisión de sus datos a dichas

autoridades, podría valorarse que el incumplimiento de esta obligación

tuviera el debido reflejo en el Capítulo VIII del Anteproyecto dedicado al

régimen sancionador.

118.- El artículo 6 del Anteproyecto se refiere a los «[p]lazos de

conservación y revisión» con la siguiente redacción:

«1. El responsable del tratamiento determinará que la conservación de

los datos personales tenga lugar sólo durante el tiempo necesario para

cumplir con los fines previstos en el artículo 1.

2. Excepcionalmente, cumplidos los plazos a los que se refiere el

apartado anterior, el responsable del tratamiento podrá acordar

motivadamente la necesidad de conservar los datos por más tiempo.

De no adoptarse decisión expresa al respecto, los datos serán

suprimidos o, en su caso, bloqueados.

El responsable del tratamiento deberá revisar la necesidad de

conservar, limitar o suprimir el conjunto de los datos personales

contenidos en cada fichero de actividades bajo su responsabilidad, si

es posible, mediante el tratamiento automatizado apropiado, como

máximo cada cinco años.»

119.- Ha de ponerse de manifiesto que el precepto proyectado, con la única

excepción de la determinación del plazo máximo de revisión periódica -de

cinco años-, no da cumplimiento al mandato establecido en el artículo 5 de la


Secretaría General


Directiva, que obliga a fijar plazos apropiados para la supresión de los datos

personales, sin que la referencia al tiempo necesario para cumplir los fines

previstos en el artículo 1, cuya interpretación descansa en el aplicador de la

norma, pueda resultar equivalente a la fijación de plazo alguno, recogiendo

el texto proyectado, nuevamente, previsiones que no respetan el principio de

reserva de ley al no concretar, en este caso, los plazos de conservación fuera

de los cuales el tratamiento de los datos estaría prohibido.

120.- La determinación de estos plazos resulta asimismo relevante al

recogerse como infracción grave «[e]l incumplimiento de los plazos de

conservación exigibles en virtud del artículo 6» en el artículo 51.a) APLO y

como infracción leve «[e]l incumplimiento de los plazos de revisión exigibles

en virtud del artículo 6» en el artículo 52.c) APLO.

121.- El artículo 6 debería precisar los plazos apropiados de conservación y

establecer las garantías adecuadas para las normas de procedimiento

garanticen el cumplimiento de dichos plazos, tal y como exige el artículo 5 de

la Directiva.

122.- Aun cuando nada disponga al respecto la Directiva, podría valorarse la

inclusión en el Anteproyecto de alguna previsión relativa a que el

almacenamiento, tratamiento y análisis de los datos se lleve a cabo en

lugares seguros dentro del territorio nacional, de manera similar a lo

establecido en el artículo 6.8 de la Directiva (UE) 2016/681 relativa a la

utilización de datos del registro de nombres de los pasajeros (PNR) para la

prevención, detección, investigación y enjuiciamiento de los delitos de

terrorismo y de la delincuencia grave. Esta previsión resultaría coherente con

lo afirmado por el TJUE en el caso Digital Rights Ireland ya que el

almacenamiento seguro de los datos es un requisito para considerar legítima

su conservación, debiendo interpretar que este concepto comprende las

actividades relacionadas con los servicios de computación en nube, que

abarcan toda una serie de actividades que pueden realizarse según diferentes

modelos e incluyen recursos tales como las redes, servidores u otras

infraestructuras, sistemas de almacenamiento, aplicaciones, etc., que el

proveedor de servicios en nube podría asignar, en principio, con

independencia de la localización geográfica de los recursos de computación

en nube.

123.- El Artículo 7 regula la distinción entre diferentes categorías de

interesados Distinción entre categorías de interesados (personas


Secretaría General


sospechosas, personas condenadas, víctimas y terceros). En la transposición

del artículo 6 de la Directiva cabe observar el Anteproyecto va más allá de lo

permitido por el precepto del Derecho de la Unión. En efecto, en la Directiva

las distintas categorías de interesados se vinculan exclusivamente con

infracciones penales, sin que se extienda, como hace el APLO, a las

infracciones relativa a la protección y prevención frente a las amenazas contra

la seguridad pública. En este punto, debe recordarse que, como expone el

considerando 13 de la Directiva, «una infracción penal en el sentido de lo

dispuesto en la presente Directiva debe ser un concepto autónomo del

Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la

Unión Europea». El prelegislador ha optado por una interpretación extensiva

de infracción penal incluyendo también infracciones administrativas respecto

de la que no se identifica en la MAIN o la exposición de motivos la

jurisprudencia del Tribunal de Justicia que la avala. Cabe poner en duda, por

el contrario, tal extensión a la vista de la sentencia de 6 de mayo de 2014

(Gran Sala), Comisión Europea contra Parlamento Europeo y Consejo de la

Unión Europea, C-43/12, ECLI:EU:C:2014:298, en la que el Tribunal

estableció que las infracciones de tráfico en materia de seguridad no pueden

considerarse infracciones penales a los efectos de intercambio transfronterizo

de información entre policías. Por otro lado, en la categoría de interesados

descrita en la letra a del artículo 7 («personas respecto de las cuales existan

motivos fundados para presumir que hayan cometido o puedan cometer una

infracción penal […]») debe tenerse en cuenta la dimensión extraprocesal de

la presunción de inocencia (SSTC 244/2007, de 10 de diciembre, y 133/2018,

de 13 de diciembre)

124.- El apartado 2 del artículo 8 del Anteproyecto, que se corresponde

con el contenido del artículo 7 de la Directiva se limita a disponer que:

«Las autoridades competentes adoptarán todas las medidas razonables

para garantizar que los datos personales que sean inexactos,

incompletos o estén desactualizados no se transmitan ni se pongan a

disposición de terceros sin trasladar al mismo tiempo la valoración de

su calidad, exactitud y actualización.»

125.- Señala el Considerando 32 de la Directiva que «[l]as autoridades

competentes deben velar por que los datos personales que sean inexactos,

incompletos o que no estén actualizados no se transmitan ni estén

disponibles. Con el fin de garantizar tanto la protección de las personas físicas

como la exactitud, integridad, actualidad y fiabilidad de los datos personales


Secretaría General


que se transmitan o se pongan a disposición de terceros, las autoridades

competentes deben, en la medida de lo posible, añadir la información

necesaria a todos los datos personales que transmitan.»

126.- La Directiva en el artículo 7.2 establece un mandato de no transmitir

o poner a disposición de terceros datos inexactos, incompletos o que no estén

actualizados. En cambio, el Anteproyecto parte de una regla opuesta: permite

la transmisión o puesta a disposición sujeta a la carga de trasladar al

destinatario la valoración sobre la calidad, exactitud y actualización, por lo

que debe subrayarse que el prelegislador, en este punto, se sitúa fuera de lo

permitido por la norma de Derecho de la Unión.

127.- Por otro lado, la referencia, genérica y abierta, a la adopción por parte

de las autoridades competentes de «todas las medidas razonables» no estaría

dotada de la necesaria claridad y precisión al no recoger, ni siquiera

indicativamente, unos parámetros de lo que debe entenderse como

integrador del canon de razonabilidad al que alude.

128.- El artículo 9 APLO lleva por rúbrica «[l]icitud del tratamiento»,

correspondiéndose con el artículo 8 de la Directiva, afirmando que «[e]l

tratamiento sólo será lícito en la medida en que sea necesario para los fines

señalados en el artículo 1 y se realice por una autoridad competente en

ejercicio de sus funciones.»

129.- Recordemos que, de conformidad con el artículo 1.1 APLO, ese

tratamiento únicamente será legítimo cuando se realice con la finalidad de

prevención, detección, investigación o enjuiciamiento de infracciones penales

o de ejecución de sanciones penales, así como de protección y de prevención

frente a las amenazas contra la seguridad pública.

130.- Debe señalarse que el artículo 8 de la Directiva establece un triple

principio de la licitud del tratamiento: principio de necesidad (necesario para

los fines de prevención, investigación, enjuiciamiento, etc.), principio de

competencia (sólo deberá realizarse por las autoridades competentes) y

principio de legalidad («está basado en el Derecho de la Unión o del Estado

miembro). Este último principio no está explícitamente incorporado al artículo

9 del Anteproyecto. Cabría entender que la referencia el «ejercicio de sus

funciones» remite a la norma legal que atribuya y discipline el ejercicio de las

potestades de las correspondientes autoridades competentes, de modo que

nos encontraríamos ante una habilitación genérica que precisaría, en todo


Secretaría General


caso, de una habilitación legal específica para la licitud del tratamiento (en

este sentido, puede verse el criterio establecido en la STC 96/2012, de 7 de

mayo, FJ 8).

131.- En todo caso, desde el punto de vista de la seguridad jurídica, es

necesario explicitar el requisito de previa habilitación legal. En este sentido,

el principio de legalidad como condición de la licitud del tratamiento se

contiene en las normas de transposición de nuestro entorno jurídico, como el

caso de Italia (art. 5 del Decreto Legislativo n. 51, 18 maggio 2018: «e si

basa sul diritto dell’Unione europea o su disposizioni di legge o, nei casi

previsti dalla legge, di regolamento che individuano i dati personali e le

finalità del trattamento»), Portugal (Art. 5 de la Lei 59/2019, de 8 de agosto:

«O tratamento de dados pessoais só é lícito se estiver previsto na lei e na

medida em que for necessário para o exercício de uma atribuição da

autoridade competente»), o Francia (art. 88 de la Loi n° 78-17 du 6 janvier

1978 relative à l'informatique, aux fichiers et aux libertés: «Le traitement de

données mentionnées au I de l'article 6 est possible uniquement en cas de

nécessité absolue, sous réserve de garanties appropriées pour les droits et

libertés de la personne concernée, et soit s'il est autorisé par une disposition

législative ou réglementaire, soit s'il vise à protéger les intérêts vitaux d'une

personne physique, soit s'il porte sur des données manifestement rendues

publiques par la personne concernée.»

132.- El artículo 11 del Proyecto se refiere al «[t]ratamiento de categorías

especiales de datos personales», conocidos como datos sensibles, que se

encuentran estrechamente vinculados con el derecho a la no discriminación,

refiriéndose a ellos el Considerando 37 de la Directiva, en los siguientes

términos:

«Especial protección merecen los datos personales que, por su

naturaleza, son particularmente sensibles en relación con los derechos

y las libertades fundamentales, ya que el contexto de su tratamiento

puede generar riesgos importantes para los derechos y las libertades

fundamentales. Dichos datos personales deben incluir aquellos que

pongan de manifiesto el origen racial o étnico, entendiéndose que el

término «origen racial» empleado en la presente Directiva no implica

la aceptación por parte de la Unión Europea de teorías que traten de

determinar la existencia de razas humanas diferentes. Tales datos

personales no deben ser objeto de tratamiento, salvo que el

tratamiento esté supeditado a las garantías adecuadas de protección

de los derechos y libertades del interesado que se establecen en la


Secretaría General


legislación y esté permitido en los casos autorizados por la ley; o, si no

está ya autorizado por dicha legislación, que el tratamiento sea

necesario para proteger los intereses vitales del interesado o de otra

persona, o que el tratamiento se refiera a datos que el interesado ya

ha hecho públicos de forma manifiesta. Entre las garantías adecuadas

de protección de los derechos y libertades del interesado pueden

figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente

en relación con otros datos de la persona física afectada, la posibilidad

de proteger adecuadamente los datos recopilados, el establecimiento

de normas más estrictas para el acceso a los datos por parte del

personal de la autoridad competente, o la prohibición de transmisión

de dichos datos. El tratamiento de este tipo de datos también debe

estar jurídicamente permitido si el interesado ha acordado de forma

explícita que el tratamiento de los datos resulte especialmente

intrusivo para las personas. Sin embargo, el consentimiento del

interesado no debe constituir en sí mismo un fundamento jurídico para

que las autoridades competentes procedan al tratamiento de datos

personales sensibles como los mencionados.»

133.- Conforme al artículo 11 del Anteproyecto (el subrayado es nuestro):

«1. El tratamiento de datos personales que revelen el origen étnico o

racial, las opiniones políticas, las convicciones religiosas o filosóficas o

la afiliación sindical, así como el tratamiento de datos genéticos o

biométricos dirigidos a identificar de manera unívoca a una persona

física, los datos relativos a la salud o a la vida sexual o a la orientación

sexual de una persona física se permitirá cuando sea, estrictamente,

necesario, con sujeción a las garantías adecuadas para los derechos y

libertades del interesado y cuando se cumplan alguna de las siguientes

circunstancias:

a) Se encuentre previsto en una norma con rango de ley o en una

norma del Derecho de la Unión Europea.

b) Resulte necesario para proteger los derechos y libertades

fundamentales del interesado o de otra persona física.

c) Dicho tratamiento se refiera a datos que el interesado haya hecho

manifiestamente públicos.

2. Los datos de los menores de edad se tratarán garantizando el interés

superior de los mismos y con el nivel de seguridad adecuado»


Secretaría General


134.- La inclusión en el citado precepto de parámetros tan abiertos y

carentes de concreción y correcta definición determina, a nuestro juicio,

nuevamente, que el artículo 11 APLO suponga una vulneración del principio

de reserva de ley en su vertiente de calidad de la ley, al no recoger los

aspectos esenciales de la necesaria concreción de los conceptos y parámetros

que legitiman el tratamiento de categorías especiales de datos personales,

los conocidos como datos especialmente sensibles.

135.- En este sentido, sería deseable que el APLO especificara «las garantías

adecuadas para los derechos y libertades del interesado», al modo como lo

ha hecho en Alemania la Bundesdatenschutzgesetz, de 30 de junio de 2017,

cuyo artículo 48, integrado en la parte III relativa a la transposición de la

Directiva (EU) 2016/680, establece un catálogo de garantías adecuadas En

el contexto del tratamiento de las categorías especiales de datos, a saber:

«1. requisitos específicos de seguridad de datos o monitoreo de protección

de datos; 2. límites de tiempo especiales dentro de los cuales deber revisarse

la pertinencia y la supresión de; 3. medidas para aumentar la conciencia del

personal involucrado en las operaciones de tratamiento; 4. restricciones en

el acceso a datos personales; 5. tratamiento separado de dichos datos; 6. la

seudonimización de datos personales; 7. el cifrado de datos personales; o 8.

códigos de conducta específicos para garantizar el procesamiento legal en

caso de transferencia o tratamiento para otros fines». Esta necesidad de

concreción se manifiesta, igualmente, en relación con los tipos infractores

recogidos en los apartados f) y l) del artículo 50 del texto proyectado en tanto

remiten, respectivamente, a «las circunstancias» y «casos» previstos en el

artículo 11.

136.- En relación con lo expuesto, la disposición final cuarta del APLO

introduce un nuevo artículo 15 bis en la Ley Orgánica 1/1979, de 26 de

septiembre, General Penitenciaria, en el que se regula el tratamiento de datos

de carácter personal de los reclusos. Tal previsión viene a cubrir una carencia

en la Ley penitenciaria y, en particular, da cobertura al tratamiento de

categorías especiales de datos, regulado en el apartado 2 del nuevo artículo

15 bis. Es doctrina constitucional asentada que, de acuerdo con el artículo

25.2 CE, cuando de la limitación de un derecho fundamental de un preso se

trata y su ejercicio no se encuentra restringido expresa o implícitamente en

el fallo condenatorio que condujo a la prisión tal limitación se prevea en la

ley penitenciaria (SSTC 58/1998, de 16 de marzo, FJ 3, y 6/2020, de 27 de

enero, FJ 3). En relación con el tratamiento de categorías especiales de datos,


Secretaría General


el precepto legal debería establecer expresamente, que deberán establecerse

garantías adecuadas para preservar los derechos y libertades de los reclusos.

137.- Resulta, asimismo, llamativo que la letra c) del apartado 1 del

artículo 11 APL haga referencia a «datos que el interesado haya hecho

manifiestamente públicos» sin introducir definición alguna al respecto ni

pautas regulatorias, no obstante existir abundantes pronunciamientos del

Tribunal Supremo y del Tribunal Constitucional al respecto, que han

pretendido colmar las lagunas normativas existentes. Así, pueden citarse,

entre otros muchos:

Sentencia de la Sala de lo Civil del Tribunal Supremo 476/2018, de 20

de julio, dictada en el recurso de casación 2355/2017,

(ECLI:ES:TS:2018:2748), en la que se afirma “[…] que la prestación

de consentimiento para la publicación de la propia imagen en Internet

conlleva el consentimiento para la difusión de esa imagen cuando tal

difusión, por sus características, sea una consecuencia natural del

carácter accesible de los datos e imágenes publicados en Internet”;


de enero, dictada en el recurso de casación nº 1081/2016 (ECLI:

ES:TS:2018:122) que admite la publicación, por tiempo limitado, en

una web policial de la imagen de una persona, captada mientras

participaba en hechos con apariencia delictiva, como medio idóneo

para alcanzar una finalidad legítima, como es la averiguación de la

identidad del presunto delincuente;


de diciembre, dictada en el recurso de casación nº 4528/2018

(ECLI:ES:TS:2019:4076), sobre la publicación de la fotografía de una

persona detenida y en prisión preventiva, obtenida -sin su

consentimiento- de su perfil en la página web de una red social, a la

que se tenía libre acceso por tratarse de un perfil público, en la se

alude a la anterior sentencia 91/2017, de 15 de febrero, afirmando que

«[u]na cuenta de Facebook no tiene la consideración de "lugar abierto

al público", a efectos de aplicar el art. 8.2.a) de la Ley Orgánica

1/1982. Tampoco el hecho de que pueda accederse libremente a la

fotografía del perfil de dicha cuenta constituye el "consentimiento

expreso" que prevé el art. 2.2 de la Ley Orgánica 1/1982 como

excluyente de la ilicitud de la captación, reproducción o publicación de

la imagen de una persona […]».


Secretaría General


Sentencia de la Sala de lo Penal del Tribunal Supremo 685/2010, de 7

de julio, dictada en el recurso 558/2010 (ECLI:ES:TS:2010:3971),

sobre la validez de la recogida, por parte de la Policía Judicial, por

propia iniciativa, de huellas, vestigios o restos biológicos abandonados

en el lugar del delito así como de las muestras que pudiendo pertenecer

a la víctima se hallaren localizadas en objetos personales del acusado,

siguiendo la línea del Acuerdo no jurisdiccional de esta Sala de 31 de

enero de 2006.

STC 14/2003, de 28 de enero, recurso de amparo núm. 4184-2000,

(ECLI:ES:TC:2003:14) relativa a la divulgación por la policía de la

fotografía de un detenido para dar difusión, mediante su publicación

en la prensa, a la detención de una determinada persona; por tanto,

con una finalidad distinta de la persecución del delito o la averiguación

de la identidad del delincuente.

Y recientemente, con carácter general, STC 27/2020, de 24 de febrero

de 2020, sobre los límites de la eficacia legitimante del consentimiento

para el uso por terceros de datos personales publicados en redes

sociales y entornos tecnológicos abiertos («hay que concluir que el

ciudadano desconoce la mayor parte de las veces el contenido real y

las consecuencias del otorgamiento de la autorización exigida para su

registro y utilización, pues resultan de no fácil comprensión para

cualquier usuario medio que no disponga de conocimientos jurídicos y

tecnológicos, por lo que difícilmente en este caso puede hablarse de

un consentimiento basado en información fiable o confiable. En

consecuencia, a juicio de este Tribunal, el consentimiento dado para la

utilización por terceros de la información suministrada por el usuario

se desvanece no solo por las distorsiones del comportamiento de los

usuarios en el momento del registro inicial sino también durante su

participación en la red.» FJ 4)

138.- En relación con el tratamiento de los datos de personas menores de

edad si bien el apartado 2 del artículo 11 alude exclusivamente a la

necesidad de garantizar el interés superior del menor, la MAIN pone en

conexión esta necesidad con «el resto de los bienes jurídicos afectados»

(página 18), explicando la Memoria en la página 39 que «[l]a ley recuerda

que los datos de los menores se pueden tratar, si bien, al entenderlos como

una categoría especial más, establece la necesidad de preservar el interés del

menor y elevar las medidas de seguridad», a pesar de que el artículo 11.2,

único del texto proyectado referido al tratamiento de los datos de personas


Secretaría General


menores de edad, se limite a recoger una referencia genérica al «nivel de

seguridad adecuado», por lo que se sugiere cohonestar ambos documentos.

139.- El Considerando 50 de la Directiva remarca la necesidad de incorporar

garantías específicas en relación con el tratamiento de los datos personales

de personas físicas vulnerables, al señalar que:

«(50) Se debe establecer la responsabilidad del responsable del

tratamiento en relación con cualquier tratamiento de datos personales

realizado por él mismo o en su nombre. En particular, el responsable

del tratamiento debe estar obligado a poner en marcha medidas

oportunas y eficaces y a poder demostrar la conformidad de las

actividades de tratamiento con la presente Directiva. Estas medidas

deben tener en cuenta la naturaleza, el alcance, el contexto y los fines

del tratamiento, así como el riesgo que representan para los derechos

y las libertades de las personas físicas. Las medidas adoptadas por el

responsable del tratamiento deben incluir la formulación y puesta en

marcha de salvaguardias específicas en relación con el tratamiento de

los datos personales de personas físicas vulnerables, en particular los

niños.»

140.- Además, no puede olvidarse que conforme al Considerando 97 «[l]a

presente Directiva se entiende sin perjuicio de las normas relativas a la lucha

contra los abusos sexuales, la explotación sexual de los menores, y la

pornografía infantil, tal como se establecen en la Directiva 2011/93/UE del

Parlamento Europeo y del Consejo» y que ésta obliga a los Estados miembros

a endurecer las sanciones penales en materia de lucha contra los abusos

sexuales, la explotación sexual de menores y la pornografía infantil, «que sin

duda constituyen graves violaciones de los derechos fundamentales y, en

particular, de los derechos del niño a la protección y a los cuidados necesarios

para su bienestar, tal como establecen la Convención de las Naciones Unidas

sobre los Derechos del Niño de 1989 y la Carta de los Derechos

Fundamentales de la Unión Europea».

141.- Así, al margen de la obligación establecida en el Convenio para la

protección de los niños contra la explotación y el abuso sexual, hecho en

Lanzarote el 27 de Octubre de 2007, y ratificado por España en el año 2010

(BOE de 12 de noviembre de 2010), de adoptar las medidas necesarias para

almacenar los datos relativos a la identidad y perfil genético de las personas

condenadas por los delitos tipificados con arreglo al conocido como Convenio

de Lanzarote, el Considerando 43 de la Directiva 2011/93/UE contempla la


Secretaría General


posibilidad de establecer registros de delincuentes sexuales en los siguientes

términos:

«Los Estados miembros podrán considerar la adopción de medidas

administrativas adicionales en relación con los delincuentes, tales

como establecer la inscripción de personas condenadas por las

infracciones contempladas en la presente Directiva en registros de

delincuentes sexuales. El acceso a estos registros debe estar sujeto a

limitaciones con arreglo a los principios constitucionales nacionales y

las normas aplicables en materia de protección de datos, por ejemplo,

permitiendo el acceso solamente a las autoridades judiciales o a los

cuerpos y fuerzas de seguridad.»

142.- Por ello, aun cuando no forme parte del Anteproyecto objeto del

presente informe, pero entendiéndose como cuestión directamente vinculada

al mismo, ha de recordarse la conclusión formulada por éste órgano

constitucional en el Informe aprobado por el Pleno del día 30 de mayo de

2019, sobre el Anteproyecto de Ley Orgánica de protección integral a la

infancia y la adolescencia frente a la violencia, en el que se puso de manifiesto

que «atendido el carácter imperativo de la obligación impuesta por el artículo

37 del Convenio de Lanzarote, no sometida a limitación o condición alguna,

se sugiere valorar la conveniencia de modificar su regulación actual, incluso

a través de su configuración como pena privativa de derechos (art. 39 CP), a

fin de garantizar el cumplimiento de la obligación de almacenar los datos

relativos a la identidad y perfil genético (ADN) de las personas condenadas

por cualquiera de los delitos tipificados con arreglo al Convenio de Lanzarote,

como exige el citado Tratado Internacional, ratificado por España».

143.- Por lo que respecta a los datos genéticos, definidos en los mismos

términos en los artículos 4.13) del Reglamento y 3.12) de la Directiva, ha de

destacarse la Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base

de datos policial sobre identificadores obtenidos a partir del ADN, que no ha

sufrido modificación alguna desde su publicación, por lo que se sugiere

valorar la conveniencia de adaptar dicha norma a las nuevas previsiones de

la normativa de protección de datos.

144.- Además de la anterior consideración ha de destacarse que el

proyectado artículo 11 incorpora las previsiones recogidas en el artículo 10

de la Directiva, de idéntica rúbrica y siguiente tenor literal (el remarcado es

nuestro):


Secretaría General


«El tratamiento de datos personales que revelen el origen étnico o

racial, las opiniones políticas, las convicciones religiosas o filosóficas, o

la afiliación sindical, así como el tratamiento de datos genéticos, datos

biométricos dirigidos a identificar de manera unívoca a una persona

física, datos relativos a la salud o a la vida sexual o las orientaciones

sexuales de una persona física solo se permitirá cuando sea

estrictamente necesario, con sujeción a las salvaguardias adecuadas

para los derechos y libertades del interesado y únicamente cuando:

a) lo autorice el Derecho de la Unión o del Estado miembro;

b) sea necesario para proteger los intereses vitales del interesado o de

otra persona física, o

c) dicho tratamiento se refiera a datos que el interesado haya hecho

manifiestamente públicos.»

145.- Si bien, aparentemente, el artículo 11 APLO cuenta con una redacción

similar a la recogida en el artículo 10 de la Directiva, se observa, sin embargo,

que la dicción del texto proyectado se aparta de las directrices recogidas en

el precepto que pretende transponer al recoger, con carácter general, unos

términos menos restrictivos, como resulta de la omisión de los adverbios

“sólo” y “únicamente”, no pudiendo olvidar que el considerando 37 de la

Directiva remarca la especial protección que «merecen los datos personales

que, por su naturaleza, son particularmente sensibles en relación con los

derechos y las libertades fundamentales, ya que el contexto de su

tratamiento puede generar riesgos importantes para los derechos y las

libertades fundamentales».

146.- Asimismo, en cuanto a la delimitación de los supuestos en los que será

posible el tratamiento de dichos datos, que el texto proyectado hace

descansar sobre el cumplimiento de «alguna» de las tres circunstancias que

enumera, se observa que se aparta del marco jurídico europeo común que se

pretende establecer, toda vez que el artículo 10 de la Directiva autoriza el

tratamiento de estos datos «únicamente» cuando además de autorizarlo el

Derecho de la Unión o del Estado miembro -en los términos que explica el

Considerando 37-, concurra alguna de las dos circunstancias que

seguidamente se enumeran, a saber, que sea necesario para proteger los

intereses vitales del interesado o de otra persona física, o que dicho

tratamiento se refiera a datos que el interesado haya hecho manifiestamente

públicos.


Secretaría General


147.- De este modo, por lo que respecta a la redacción del proyectado

artículo 11 “[t]ratamiento de categorías especiales de datos personales” se

ha de adecuar la misma a fin de no mermar o restringir, ni apartarse, de las

exigencias establecidas en el artículo 10 de la Directiva.

148.- El artículo 12 del Anteproyecto, “[m]ecanismo de decisión

individualizado” incorpora a nuestro Ordenamiento el artículo 11 de la

Directiva que regula el uso de decisiones automatizadas por parte de las

autoridades competentes en el ámbito de aplicación de la Directiva, con el

siguiente tenor proyectado:

«1. No se adoptarán decisiones individuales automatizadas que

produzcan efectos jurídicos negativos para el interesado o le

repercutan significativamente de forma adversa. Estas decisiones no

se basarán, únicamente, en un tratamiento automatizado de datos

personales que comprenda la elaboración de perfiles, salvo que se

autorice expresamente por una norma con rango de ley o por una

norma del Derecho de la Unión Europea. La norma habilitante del

tratamiento deberá establecer las medidas adecuadas para

salvaguardar los derechos y libertades del interesado, incluyendo el

derecho a obtener la intervención humana en el proceso de revisión de

la decisión adoptada.

2. Queda prohibida la elaboración de perfiles que dé lugar a una

discriminación de las personas físicas sobre la base de categorías

especiales de datos personales establecidas en el artículo 11.»

149.- El Libro Blanco sobre la inteligencia artificial, un enfoque europeo

orientado a la excelencia y la confianza, presentado por la Comisión Europea

el 19 de febrero de 2020, define a la inteligencia artificial como combinación

de tecnologías que agrupa datos, algoritmos y capacidad informática,

señalando que supone una oportunidad para proteger mejor a los ciudadanos

de la UE de la delincuencia y los actos de terrorismo, afirmando que las

herramientas de inteligencia artificial “podrían, por ejemplo, ayudar a

detectar propaganda terrorista en línea, descubrir transacciones sospechosas

en la venta de productos peligrosos, detectar objetos peligrosos ocultos o

productos y sustancias ilícitos, ofrecer asistencia a los ciudadanos en

situaciones de emergencia y servir de orientación al personal de primera

intervención” y concluyendo que puede contribuir a encontrar soluciones al

problema de la lucha contra la delincuencia.


Secretaría General


150.- Tanto el RGPD como la Directiva han previsto importantes garantías

en favor de aquellos particulares que se ven sometidos a un tratamiento

basado en decisiones totalmente automatizadas, esto es, a través del uso de

algoritmos o sistemas informáticos donde no existe intervención del ser

humano en la decisión adoptada.

151.- En particular, señalan los Considerandos 18 y 38 de la Directiva que:

«18) Para evitar que se produzcan graves riesgos de elusión, la

protección de las personas físicas debe ser tecnológicamente neutra y

no debe depender de las técnicas utilizadas. La protección de las

personas físicas debe aplicarse al tratamiento automatizado de los

datos personales, así como a su tratamiento manual si los datos

personales están contenidos o destinados a ser incluidos en un fichero.

Los ficheros o conjuntos de ficheros y sus portadas que no estén

estructurados con arreglo a criterios específicos no deben incluirse en

el ámbito de aplicación de la presente Directiva.

(38) El interesado debe tener derecho a no ser objeto de una decisión

que evalúe aspectos personales que le conciernen que se base

únicamente en un tratamiento automatizado de los datos y que tenga

efectos jurídicos adversos que le conciernan o le afecten

significativamente. En todo caso, este tipo de tratamiento debe estar

sujeto a las garantías apropiadas, lo que incluye informar de forma

específica al interesado, así como el derecho a la intervención humana,

en particular para que el interesado pueda expresar su punto de vista,

obtener una explicación de la decisión adoptada tras dicha evaluación,

o ejercer su derecho a impugnar la decisión. Queda prohibida la

elaboración de perfiles que dé lugar a la discriminación de personas

físicas por razones basadas en datos personales que, por su naturaleza,

son especialmente sensibles en relación con los derechos y las

libertades fundamentales, con arreglo a las condiciones previstas en

los artículos 21 y 52 de la Carta.»

152.- La relevancia del tratamiento conjunto de datos, y su incidencia en el

derecho fundamental a la intimidad, fue puesta de relieve en la STC

173/2011, de 7 de noviembre (recurso de amparo núm. 5928-2009,

ECLI:ES:TC:2011:173), recordando la importancia de dispensar protección

constitucional al cúmulo de información personal derivada del uso de los

instrumentos tecnológicos de nueva generación por su incidencia en el ámbito


Secretaría General


de la intimidad, constitucionalmente protegido, del análisis conjunto o

interrelacionado y de la explotación del cúmulo de información personal

almacenada.

153.- Asimismo, asistimos al reconocimiento jurisprudencial de nuevos

derechos derivados del desarrollo de las nuevas tecnologías, dentro de la

categoría de lo que se han venido a denominar derechos constitucionales de

nueva generación, como el derecho a la protección del propio entorno virtual

al que se refiere la Sentencia del Tribunal Constitucional 173/2011, de 7 de

noviembre, dictada en el recurso de amparo 5928-2009

(ECLI:ES:TC:2011:173) o la Sentencia de la Sala Segunda del Tribunal

Supremo, de 10 de marzo de 2016, (ECLI:ES:TS:2016:1218), como derecho

en el que «[…] se integraría, sin perder su genuina sustantividad como

manifestación de derechos constitucionales de nomen iuris propio, toda la

información en formato electrónico que, a través del uso de las nuevas

tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o

sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible

de seguimiento por los poderes públicos. Surge entonces la necesidad de

dispensar una protección jurisdiccional frente a la necesidad del Estado de

invadir, en las tareas de investigación y castigo de los delitos, ese entorno

digital.»

154.- En relación con el artículo 11 de la Directiva y los mecanismos de

decisión individual automatizados, resulta relevante traer a colación la

normativa francesa que con ocasión de la transposición de la Directiva UE

2016/680, ha venido a modificar el artículo 10 de la Ley 78-17, de 6 de enero

de 1978, sobre procesamiento de datos, archivos y libertades, autorizando a

la Administración a adoptar decisiones individuales que tengan efectos

legales o que afecten significativamente a una persona sobre la base de un

algoritmo, habiéndose pronunciado al respecto el Consejo Constitucional

Francés, en la Decisión n° 2018-765 DC, de 12 de junio de 2018, avalando

la nueva normativa al entender que el legislador ha definido las garantías

apropiadas para la salvaguarda de los derechos y libertades de las personas

sujetas a decisiones administrativas individuales tomadas sobre la base

exclusiva de un algoritmo.

155.- Así, explica el Consejo Constitucional Francés, al analizar las garantías

establecidas para la salvaguarda de los derechos y libertades de las personas,

que la nueva normativa se limita a autorizar a la Administración a realizar

una evaluación individual de la situación del ciudadano por el único medio de


Secretaría General


un algoritmo; de acuerdo con una reglas y criterios definidos de antemano;

que no autorizan a la Administración a adoptar decisiones sin fundamento

jurídico, ni a aplicar otras normas distintas de las vigentes; que la utilización

del algoritmo por la Administrativa exige que la decisión administrativa

individual ha de indicar explícitamente que se adoptó sobre la base de un

algoritmo; que las principales características de la implementación del

algoritmo han de ser comunicadas a la persona interesada si ésta lo solicita,

de manera que cuando se trate de algoritmos en los que ésta información no

pueda ser facilitada, por ejemplo por razón del secreto comercial, la

Administración no podrá tomar una decisión individual sobre la base exclusiva

de este algoritmo; que la Administración ha de poder explicar en detalle y de

forma inteligible al interesado cómo se ha implementado el procesamiento y

finalmente, que la decisión administrativa individual debe poder ser objeto

de los correspondientes recursos administrativos y de posterior control

judicial, pudiendo el Juez requerir a la Administración para que comunique

las características del algoritmo.

156.- En el artículo 12 del Anteproyecto, con la exigencia relativa a que

«[l]a norma habilitante del tratamiento deberá establecer las medidas

adecuadas para salvaguardar los derechos y libertades del interesado», que

se limita a transcribir de forma literal lo dispuesto al respecto en el apartado

1 del artículo 11 de la Directiva, una vez más, el prelegislador incorpora

parámetros genéricos carentes de la necesaria concreción en orden a dar

cumplimiento al principio de reserva de ley establecido en el 81.1 de la

Constitución, sin que obste a esta observación lo dispuesto en el artículo 30.2

del Anteproyecto relativo a las medidas de seguridad a implementar por el

responsable o encargado del tratamiento, exigidas a su vez por el artículo

29.2 de la Directiva.

157.- Es el Considerando 38 de la Directiva, anteriormente transcrito, el que

ofrece algunos ejemplos de garantías apropiadas, no recogidas en el texto

proyectado, como informar de forma específica al interesado, el derecho a la

intervención humana, en particular para que el interesado pueda expresar su

punto de vista, obtener una explicación de la decisión adoptada tras dicha

evaluación, o ejercer su derecho a impugnar la decisión, ejemplos que

resultan coincidentes con los recogidos en el Considerando 71 del RGPD que

añade, en su segundo párrafo lo siguiente:

«A fin de garantizar un tratamiento leal y transparente respecto del

interesado, teniendo en cuenta las circunstancias y contexto

específicos en los que se tratan los datos personales, el responsable


Secretaría General


del tratamiento debe utilizar procedimientos matemáticos o

estadísticos adecuados para la elaboración de perfiles, aplicar medidas

técnicas y organizativas apropiadas para garantizar, en particular, que

se corrigen los factores que introducen inexactitudes en los datos

personales y se reduce al máximo el riesgo de error, asegurar los datos

personales de forma que se tengan en cuenta los posibles riesgos para

los intereses y derechos del interesado y se impidan, entre otras cosas,

efectos discriminatorios en las personas físicas por motivos de raza u

origen étnico, opiniones políticas, religión o creencias, afiliación

sindical, condición genética o estado de salud u orientación sexual, o

que den lugar a medidas que produzcan tal efecto»

158.- Esta falta de concreción y determinación de las medidas adecuadas

para salvaguardar los derechos y libertades del interesado, a su vez, ha de

ponerse en conexión con el artículo 50.n) del Anteproyecto que tipifica como

infracción muy grave “[l]La adopción de decisiones individuales

automatizadas sin las garantías señaladas en el artículo 12”, sin que el

artículo 12 determine debidamente cuáles son éstas garantías, lo que resulta

contrario a la necesaria certeza que demanda el Derecho administrativo

sancionador.

159.- Ante los límites ligados a la opacidad de los algoritmos y en ausencia

de normas específicas que regulen o prevean garantías concretas, podría

resultar conveniente abordar la regulación del proceso de elaboración de

estos algoritmos, incluso su necesidad de homologación o registro, a fin de

evitar la utilización de aquellos que contengan sesgos discriminatorios y dar

cumplimiento efectivo al mandato recogido en el artículo 11.3 de la Directiva

y 12.2 del Anteproyecto que prohíbe la elaboración de perfiles que dé lugar

a una discriminación de las personas físicas basándose en las categorías

especiales de datos antes mencionadas.

160.- Asimismo, de acuerdo con lo establecido en el artículo 12.2 APLO, la

mera existencia de sospechas fundadas de que un algoritmo toma decisiones

sesgadas, debería determinar, de forma automática, el cese de su utilización

por parte de las autoridades competentes.

161.- A ello debe añadirse que tampoco el artículo 12.1 del texto proyectado

transpone adecuadamente las exigencias establecidas en el apartado 1 del

artículo 11 de la Directiva toda vez que éste último exige implementar, como

medida adecuada para salvaguardar los derechos y libertades del interesado,

«al menos el derecho a obtener la intervención humana por parte del


Secretaría General


responsable del tratamiento», incluyendo el artículo 12 APLO el derecho a

obtener la intervención humana en el proceso de revisión de la decisión

adoptada, pero omitiendo la exigencia de que esta revisión ha de llevarse a

efecto «por parte del responsable del tratamiento».

162.- Asimismo, atendiendo a las herramientas informáticas hoy disponibles

y a las posibilidades que ofrece el tratamiento automatizado de datos,

haciendo referencia expresa la Directiva a los datos que el interesado ya ha

hecho públicos de forma manifiesta, como circunstancia que permite y

legitima el tratamiento de datos especialmente sensibles, a los que se dota

de especial protección, resultaría sumamente conveniente abordar la

regulación de la utilización por parte de las fuerzas y cuerpos de seguridad

de la información obtenida de fuentes abiertas, conocida por el acrónimo

anglosajón OSINT, Open Source Intelligence, atendiendo a un fin

constitucionalmente legítimo, como es el interés público propio de la

investigación de los delitos y el descubrimiento de los delincuentes, lo que

constituye un bien digno de protección constitucional, a través del cual se

defienden otros como la paz social y la seguridad ciudadana, bienes

igualmente reconocidos en los artículos 10.1 y 104.1 de la Constitución.

163.- El apartado 2 del artículo 12 del Anteproyecto, en línea con el artículo

11.3 de la Directiva, prohíbe la elaboración de perfiles que dé lugar a una

discriminación de las personas físicas sobre la base de categorías especiales

de datos personales. La norma nacional de transposición debería dar un paso

más en la protección frente a la discriminación derivada de mecanismos de

decisión individual automatizados y prohibir por este tipo de mecanismos el

tratamiento de categorías especiales de datos.

164.- El artículo 17 APLO aborda las «[r]estricciones a los derechos de

información, acceso, rectificación o supresión de datos personales y a la

limitación de su tratamiento» a que se refieren los apartados 3 y 4 del artículo

13, el artículo 15 y el apartado 4 del artículo 16, todos ellos de la Directiva,

recogiendo el texto proyectado lo siguiente:

«1. El responsable del tratamiento podrá aplazar, limitar u omitir la

información a la que se refiere el artículo 13, así como denegar, total

o parcialmente, las solicitudes de ejercicio de los derechos

contemplados en los artículos 14 y 15, siempre que, teniendo en

cuenta los derechos fundamentales y los intereses legítimos de la


Secretaría General


persona afectada, resulte necesario y proporcional para la consecución

de los siguientes fines:

a) Impedir que se obstaculicen indagaciones, investigaciones o

procedimientos judiciales.

b) Evitar que se cause perjuicio a la prevención, detección,

investigación o enjuiciamiento de infracciones penales o a la ejecución

de sanciones penales.

c) Proteger la seguridad pública.

d) Proteger la Seguridad Nacional.

e) Proteger los derechos y libertades de otras personas.

2. En caso de restricción de los derechos contemplados en los artículos

14 y 15, el responsable del tratamiento informará por escrito al

interesado sin dilación indebida, y en todo caso en el plazo de un mes,

de cualquier restricción de sus derechos, de las razones de la

restricción, así como de las posibilidades de presentar una reclamación

ante la autoridad de protección de datos, sin perjuicio de las restantes

acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta

ley orgánica.

Las razones de la restricción podrán ser omitidas cuando la aportación

de dicha información pueda poner en riesgo los fines a los que se

refiere el apartado 1.

4. El responsable del tratamiento documentará los fundamentos de

hecho o de derecho en los que se sustente la decisión denegatoria del

ejercicio de los derechos establecidos en los artículos 14 y 15. Dicha

información, así como la establecida en el apartado anterior, estará a

disposición de las autoridades de protección de datos.»

165.- Se observa, en primer lugar, una discordancia entre el título del artículo

proyectado, que alude a las «[r]estricciones a los derechos de […]

rectificación o supresión de datos personales […]», a que se refiere el artículo

16.4 de la Directiva, y el contenido del mismo que no alude al artículo 16

APLO, a pesar de ser éste el precepto que se ocupa del «[d]erecho de

rectificación o supresión de datos personales y limitación de su tratamiento».


Secretaría General


166.- En cuanto al contenido, el apartado 1 del artículo 17 recoge una

confusa cadena de remisiones ya que reenvía a la información a que se refiere

el artículo 13, precepto que, a su vez, vuelve a efectuar una remisión a «toda

la información contemplada en el artículo 14, así como la derivada de los

artículos 12, 15 a 19 y 32», por lo que se sugiere modificar la redacción de

éste precepto en términos que resulten claros y precisos, no pudiendo olvidar

que se trata de regular restricciones de derechos.

167.- Asimismo, a pesar de que el precepto proyectado incorpora las

previsiones de la Directiva de forma prácticamente literal, dado que la

transposición obliga al legislador nacional a establecer una regulación interna

coherente, atendida la diversidad de los fines expuestos y al objeto de que el

contenido del artículo resulte claro en orden a su aplicación por los

operadores jurídicos, resultaría conveniente adecuar la redacción del artículo

17 APLO (apartados 1 y segundo párrafo del apartado 2), aclarando si basta

la concurrencia de uno de estos fines para legitimar las restricciones a los

derechos de información, acceso, rectificación o supresión de datos

personales y a la limitación de su tratamiento, así como revisar la numeración

de los apartados, toda vez que se observa la omisión del apartado 3.

168.- El artículo 18 APLO dispone que «el responsable del tratamiento

informará al interesado de la posibilidad de que sus derechos sean ejercitados

a través de la autoridad de protección de datos», en los casos contemplados

en los artículos 15.3 («Se entenderá concedido el derecho de acceso si el

responsable del tratamiento facilita al interesado un sistema remoto, directo

y seguro que garantice, de modo permanente, el acceso a la totalidad de sus

datos personales. La comunicación del sistema al interesado permitirá

denegar su solicitud de acceso») y 16.1 («1. El interesado tendrá derecho a

obtener del responsable del tratamiento, sin dilación indebida, la rectificación

de los datos personales que le conciernen, cuando tales datos resulten

inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tendrá

derecho a que se completen los datos personales cuando éstos resulten

incompletos. El interesado deberá indicar en su solicitud a qué datos se

refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea

preciso, la documentación justificativa de la inexactitud o del carácter

incompleto de los datos objeto de tratamiento»).

169.- Este precepto ha de ponerse en conexión con lo dispuesto en el artículo

17.1 de la Directiva, que exige a los Estados miembros adoptar medidas por

las que se disponga que los derechos del interesado también puedan


Secretaría General


ejercerse a través de la autoridad de control competente en los casos

contemplados:

- en primer lugar, en el artículo 13, apartado 3, que autoriza a los

Estados miembros a adoptar medidas legislativas por las que se

retrase, limite u omita la puesta a disposición del interesado de la

información que debe ponerse a su disposición o que se le debe

proporcionar, “siempre y cuando dicha medida constituya una medida

necesaria y proporcional en una sociedad democrática, teniendo

debidamente en cuenta los derechos fundamentales y los intereses

legítimos de la persona física afectada, para: a) evitar que se

obstaculicen indagaciones, investigaciones o procedimientos oficiales o

judiciales; b) evitar que se cause perjuicio a la prevención, detección,


de sanciones penales; c) proteger la seguridad pública; d) proteger la

seguridad nacional; e) proteger los derechos y libertades de otras

personas”;

- en segundo lugar, en el supuesto del artículo 15, apartado 3, que

obliga a los Estados miembros a prever que, en los casos en que se

restrinja, total o parcialmente, el derecho de acceso del interesado,

(posibilidad que exige que “dicha restricción parcial o completa

constituya una medida necesaria y proporcional en una sociedad

democrática, teniendo debidamente en cuenta los derechos

fundamentales y los intereses legítimos de la persona física afectada,

para: a) evitar que se obstaculicen indagaciones, investigaciones o

procedimientos oficiales o judiciales; b) evitar que se cause perjuicio a

la prevención, detección, investigación o enjuiciamiento de infracciones

penales o a la ejecución de sanciones penales; c) proteger la seguridad

pública; d) proteger la seguridad nacional; e) proteger los derechos y

libertades de otras personas”), el responsable del tratamiento informe

por escrito al interesado, sin dilación indebida, de cualquier denegación

o limitación de acceso, y de las razones de la denegación o de la

restricción del derecho de acceso, pudiendo omitirse esta información

cuando el suministro de dicha información pueda comprometer uno de

los fines señalados en el apartado 1 del artículo 15, señalándose,

además que los Estados miembros dispondrán que el responsable del

tratamiento informe al interesado de las posibilidades de presentar una

reclamación ante la autoridad de control y de interponer un recurso

judicial;


Secretaría General


- finalmente, en el caso del artículo 16, apartado 4, que obliga a los

Estados miembros a disponer que el responsable del tratamiento

informe al interesado por escrito de cualquier denegación de

rectificación o supresión de los datos personales, o de limitación de su

tratamiento, y de las razones de la denegación, pudiéndose “adoptar

medidas legislativas por las que se restrinja, total o parcialmente, la

obligación de proporcionar tal información, siempre y cuando dicha

limitación del tratamiento constituya una medida necesaria y

proporcional en una sociedad democrática, teniendo debidamente en

cuenta los derechos fundamentales y los intereses legítimos de la

persona física afectada, para: a) evitar que se obstaculicen

indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección,


de sanciones penales; c) proteger la seguridad pública; d) proteger la

seguridad nacional; e) proteger los derechos y libertades de otras

personas”, señalándose, además, igual que en el artículo 15,3 que “los

Estados miembros dispondrán que el responsable del tratamiento

informe al interesado de las posibilidades de presentar una reclamación

ante la autoridad de control y de interponer un recurso judicial”.

170.- De lo expuesto deriva la falta de correspondencia entre los supuestos

a los que se refieren los artículos 15.3 y 16.1 a los que remite el artículo 18.1

del Anteproyecto y los previstos en los artículos 13.3, 15.3 y 16.4 de la

Directiva, en los que se ha de disponer que los derechos del interesado

también puedan ejercerse a través de la autoridad de control competente,

como evidente garantía adicional de control en supuestos en los que se limita

o restringe la información que debe ponerse a disposición del interesado o

que se le debe proporcionar, el derecho de acceso o el tratamiento del

derecho de rectificación o supresión de datos personales.

171.- En cuanto a la previsión recogida en el artículo 18.2 del

Anteproyecto sobre el «derecho a interponer recurso contencioso-

administrativo» ha de clarificarse la redacción a fin de concretar en el texto

proyectado, debidamente, el acto contra el que cabría el citado recurso,

resultando importante poner en conexión las funciones atribuidas a las

autoridades de protección de datos, autoridades de control, y la competencia

de la Jurisdicción Contencioso-administrativa para conocer de la impugnación

de los actos procedentes de las mismas, ya que su independencia, a que se


Secretaría General


refiere el artículo 8.3 CDFUE, no debe significar que dichas autoridades

puedan quedar exentas de control judicial -según expresa el considerando

118 RGPD-, lo que se entiende, además, acorde con la exigencia de respetar

el contenido esencial del derecho fundamental a la tutela judicial efectiva del

artículo 47 de la CDFUE. Por lo demás, resultaría sumamente conveniente

que el Anteproyecto incorporase previsiones específicas sobre el régimen de

impugnación de los actos de las autoridades de protección de datos.

172.- Abre el Capítulo IV “[r]esponsable y encargado de tratamiento” el

artículo 20, rubricado “[o]bligaciones del responsable del tratamiento”,

señalando lo siguiente:

«1. El responsable del tratamiento, tomando en consideración la

naturaleza, el ámbito, el contexto y los fines del tratamiento, así como

los niveles de riesgo para los derechos y libertades de las personas

físicas, aplicará las medidas técnicas y organizativas apropiadas para

garantizar que el tratamiento se lleve a cabo de acuerdo con esta ley

orgánica y con lo previsto en la legislación sectorial y en sus normas

de desarrollo, así como, en los supuestos previstos en el artículo 18,

en la Ley Orgánica 6/1985, de 1 de julio, o en la legislación procesal

que resulte de aplicación. Tales medidas se revisarán y actualizarán

cuando resulte necesario.

2. Entre las medidas mencionadas en el apartado anterior se incluirá

la aplicación de las oportunas políticas de protección de datos, cuando

sean proporcionadas en relación con las actividades de tratamiento.»

173.- A parte de las consideraciones efectuadas más arriba en relación con

la remisión a la LOPJ que se contiene en el precepto, debe señalarse que el

artículo 20 APLO, a pesar de su rúbrica, no parece detallar o delimitar en

su contenido, más allá de la necesidad de adoptar las medidas técnicas y

organizativas apropiadas, cuáles son las obligaciones del responsable del

tratamiento y no incorpora a nuestro Derecho interno la previsión establecida

en el artículo 19.1 de la Directiva con la amplitud exigida por la norma que

se transpone, toda vez que ésta exige al responsable del tratamiento

«garantizar y estar en condiciones de demostrar que el tratamiento se lleva

a cabo de conformidad con la presente Directiva», mientras que el precepto

proyectado recoge únicamente la obligación «garantizar».

174.- La referencia genérica a la adopción de las «medidas técnicas y

organizativas» que resulten apropiadas, que se recoge en diferentes partes


Secretaría General


del Anteproyecto, así, en el apartado IV de la Exposición de Motivos, y en los

artículos 20, 21, 23, 25, 30, 50, 51, 52, de forma similar a lo dispuesto en

los artículos 4, 19, 20, 22, 24, 29 y 31 de la Directiva, a nuestro parecer no

colmarían la mínima previsión legal a fin de no derivar, exclusivamente, en

el aplicador de la norma lo que debe entenderse por tal concepto.

175.- A esta falta de concreción, que traslada la dotación de contenido del

referido concepto al aplicador de la norma, ha de añadirse que los artículos

50.g), 51.g) y j) y 52.a) del Anteproyecto tipifican diferentes infracciones

relacionadas con la falta de adopción o incumplimiento de las medidas

técnicas y organizativas exigibles, lo cual resulta contrario a las exigencias

de certeza exigidas por el Derecho administrativo sancionador.

176.- El artículo 26 del APLO regula el registro de operaciones como una

de las medidas de seguridad que debe adoptarse en relación con los

tratamientos objeto de la Directiva. El apartado 2 de este precepto incorpora

la previsión del artículo 25.2 de la Directiva en unos términos que la hacen

irreconocible. En efecto, establece el artículo 26.2 del APLO que «Estos

registros se utilizarán en el ámbito de los procesos penales únicamente a

efectos de verificar la legalidad del tratamiento; controlar el cumplimiento de

las medidas y de las políticas de protección de datos, y garantizar la

integridad y la seguridad de los datos personales». En cambio, el artículo 25.2

de la Directiva dispone que «Dichos registros se utilizarán únicamente a

efectos de verificar la legalidad del tratamiento, autocontrol, garantizar la

integridad y la seguridad de los datos personales y en el ámbito de los

procesos penales». La redacción del apartado 2 del artículo 26 debe

acomodarse más fielmente a lo establecido en la Directiva.

177.- El artículo 31.1 del Anteproyecto establece la obligación de

notificar, por parte del responsable del tratamiento a la autoridad de

protección de datos, cualquier violación de la seguridad de los datos

personales, «a menos que sea improbable que la violación de la seguridad de

los datos personales constituya un peligro para los derechos y las libertades

de las personas físicas», recogiendo, una vez más, una mera reproducción

literal de lo dispuesto en la Directiva (artículo 30.1), incorporando al Derecho

interno una referencia carente de la necesaria concreción y determinación

para su correcta aplicación por el destinatario de la norma.

178.- Esta misma observación resulta trasladable al artículo 32.1 del texto

proyectado en tanto deja en manos del responsable del tratamiento la

valoración de cuándo una violación de la seguridad de los datos personales


Secretaría General


supone «un alto riesgo para los derechos y libertades de las personas físicas»,

sin ofrecer al aplicador de la norma las pautas necesarias para dotar de

contenido a esta circunstancia, tipificando, además, el Anteproyecto, en los

artículos 50.p) y 52.n) y o) infracciones relacionadas con el incumplimiento

de las referidas notificaciones, careciendo del grado de certeza exigible en la

tipificación legal de las mismas.

179.- En la letra c) del apartado 3 del artículo 32 APLO, (“Comunicación

de una violación de la seguridad de los datos personales al interesado”), se

sugiere acotar o delimitar la referencia a la «publicación en el boletín oficial

correspondiente», equivalente a la «comunicación pública o una medida

semejante mediante la cual se informe a los interesados de manera

igualmente efectiva» a que se refiere el artículo 31.3,c) de la Directiva.

180.- Como mejora de técnica legislativa, en el apartado 5 del artículo 32

APLO podría resultar conveniente remitir al “apartado 1” del artículo 17, de

manera análoga, asimismo, a la forma en que se efectúa la remisión en el

artículo 31.5 de la Directiva, que remite a los motivos que se contemplan en

el artículo 13, “apartado 3”.

181.- El Capítulo VI del Anteproyecto se dedica a las «[a]utoridades de

protección de datos» que constituyen la necesaria garantía de control

institucional del derecho.

182.- A lo largo del texto proyectado, por ejemplo en los artículos 2.7.e), 3,

38.2 y 3, 42.1.i) se utiliza la denominación de «autoridad de control», que es

la misma utilizada en el artículo 3.15 de la Directiva y 3.21 RGPD como

autoridad pública independiente establecida por un Estado miembro con

arreglo a lo dispuesto, respectivamente, en el artículo 41 de la Directiva y 51

RGPD, sin que el Reglamento ni la Directiva, recojan referencia alguna a las

«autoridades de protección de datos». En particular, el apartado 1 del artículo

3 del Anteproyecto declara de aplicación «a los efectos de esta ley orgánica»,

entre otras, la definición de autoridad de control tal y como se establece en

el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27

de abril de 2016.

183.- Por ello, ha de llamarse la atención sobre la cierta confusión derivada

de la utilización en el Anteproyecto de ambas denominaciones, sugiriendo al

prelegislador la debida clarificación al respecto, por ejemplo, mediante la

utilización de la denominación recogida en la norma que se transpone.


Secretaría General


184.- La Directiva dedica su Capítulo VI, artículos 41 a 49, a las

«[a]utoridades de control independientes» estableciendo en el apartado 1 del

artículo 41 que cada Estado miembro dispondrá que sea responsabilidad de

una o varias autoridades públicas independientes supervisar la aplicación de

la Directiva, con el fin de proteger los derechos y las libertades fundamentales

de las personas físicas en lo que respecta al tratamiento de sus datos

personales y de facilitar la libre circulación de datos personales en la Unión

(en lo sucesivo, «autoridad de control») y señalando en el apartado 3 que

«Estados miembros podrán disponer que una autoridad de control creada en

virtud del Reglamento (UE) 2016/679 pueda ser la autoridad de control

mencionada en la presente Directiva y asuma la responsabilidad de las

funciones de la autoridad de control que vayan a crearse de conformidad con

el apartado 1 del presente artículo», permitiendo así que el legislador

nacional, a la hora de abordar la transposición de la Directiva, pueda optar

entre crear una autoridad de control específica para fines penales o atribuir

estas funciones de control de esta clase de datos con relevancia penal a la

autoridad general encargada de la protección de datos.

185.- Respetando la exigencia del carácter público e independiente de la

autoridad, el prelegislador ha optado por atribuir esta condición a la Agencia

Española de Protección de Datos y a las autoridades autonómicas de

protección de datos, exclusivamente en relación a aquellos tratamientos de

los que sean responsables en su ámbito de competencia, y conforme a lo

dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018 de 5 de diciembre

(artículo 41 del Anteproyecto), de forma que estas autoridades, encargadas

de la vigilancia y control del uso de los datos personales en cualquier campo

o actividad vienen a asumir, igualmente, las funciones de control y

supervisión del tratamiento de los datos personales llevados a cabo por las

autoridades competentes con fines de prevención, detección, investigación o

enjuiciamiento de infracciones penales o de ejecución de sanciones penales,

así como de protección y de prevención frente a las amenazas contra la

seguridad pública.

186.- Resultando legítimo el modelo de control institucional por el que opta

el Anteproyecto, deben tenerse en cuenta, junto a la especialidad de la

materia objeto de la actividad de supervisión, otras cuestiones como la

habilitación para el ejercicio indirecto de derechos fundamentales, la

importancia de las funciones de supervisión y control que va a desarrollar la

autoridad de control en relación con el tratamiento de datos personales con

fines penales, que a su vez viene acompañada de la atribución de importantes


Secretaría General


poderes, en palabras del artículo 47 de la Directiva, o potestades, según el

artículo 43 del Anteproyecto, que abarcan desde la «investigación, incluyendo

el acceso a todos los datos que estén siendo tratados por el responsable o

encargado del tratamiento» hasta el control, que incluye la posibilidad de

impartir órdenes de rectificación o supresión de datos o de limitación o

prohibición del tratamiento.

187.- De lo expuesto resulta que nos encontramos ante unas autoridades de

control cuyo ámbito competencial o de actuación, al que se refiere el artículo

57 RGPD, al que remite el artículo 47 de la LO 3/2018, se va a ver

notablemente ampliado, en un ámbito muy específico, dada la finalidad del

tratamiento y los riesgos que para el derecho fundamental entrañan estos

datos, a la par acompañado de la habilitación para el ejercicio indirecto de

derechos fundamentales junto con unos poderes o potestades de gran

amplitud lo que exige, en nuestro parecer, que el marco legal proyectado

incorpore las debidas cautelas, entre las que han de destacar la necesaria

especialización y el reforzamiento del deber de secreto profesional.

188.- En cuanto a la necesaria especialización, al no optar el prelegislador,

como permite la Directiva, por la constitución de una autoridad específica

para el control y supervisión del tratamiento de los datos con fines penales,

resultaría sumamente conveniente la incorporación al texto proyectado de la

necesidad de que las autoridades de protección de datos cuenten con

unidades específicas para el ejercicio de las competencias y funciones

derivadas de la Directiva, dotadas de suficientes garantías para proteger los

derechos y las libertades fundamentales de las personas físicas en lo que

respecta al tratamiento de sus datos personales efectuado por las autoridades

competentes con fines de prevención, detección, investigación o

enjuiciamiento de infracciones penales o de ejecución de sanciones penales,

así como de protección y de prevención frente a las amenazas contra la

seguridad pública.

189.- En este sentido, cabe señalar que en Portugal se ha optado por crear

una unidad específica dentro de la Comissão Nacional de Protecção de Dados

(CNPD) en los términos que prevé el artículo 43 de la Lei 59/2019. De acuerdo

con el referido precepto, a los efectos del ejercicio de las funciones de

autoridad de control respecto de los tratamientos objeto de la Directiva, la

CNPD se integra por un magistrado, designado por el Consejo Superior de la

Magistratura, y por un miembro del Ministerio Fiscal, designado por el

Consejo Superior del Ministerio Público, que ejercerán en exclusividad, sin

perjuicio de las competencias del presidente de la CNPD, el ejercicio de la


Secretaría General


funciones de la CNPD que impliquen acceso a los datos objeto de tratamiento

o a los registros de operaciones de tratamiento.

190.- Por lo que respecta al deber de secreto profesional, resulta

especialmente remarcado en el artículo 44.2 de la Directiva al disponer que:

«El miembro o miembros y el personal de cada autoridad de control

estarán sujetos, conforme al Derecho de la Unión o del Estado

miembro, al deber de secreto profesional, tanto durante su mandato

como después del mismo, con relación a las informaciones

confidenciales de las que hayan tenido conocimiento en el

cumplimiento de sus funciones o el ejercicio de sus poderes. Durante

su mandato, este deber de secreto profesional se aplicará en particular

a la información que faciliten las personas físicas sobre infracciones de

la presente Directiva.»

191.- A fin de dar cumplimiento a dicho mandato, teniendo en cuenta la

especialidad de la materia objeto de la actividad de supervisión y,

especialmente, la habilitación para el ejercicio indirecto de derechos

fundamentales y la potestad de investigación que se atribuye a las

autoridades de control, que incluye, como dispone el artículo 43,a) APLO «el

acceso a todos los datos que estén siendo tratados por el responsable o

encargado del tratamiento», han de incorporarse al texto proyectado, con

carácter general, las necesarias previsiones en relación con el deber de

secreto profesional y, en particular, con la información que faciliten las

personas físicas sobre infracciones de la regulación recogida en el texto

proyectado, lo que ha de ponerse en conexión con la Directiva (UE)

2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,

relativa a la protección de las personas que informen sobre infracciones del

Derecho de la Unión y la jurisprudencia del Tribunal de Justicia, cuyo plazo

de transposición, señala el artículo 26 de la misma, que finalizará el 17 de

diciembre de 2021 (con excepción de algunas previsiones, como la obligación

de establecer canales de denuncia interna en las entidades jurídicas del sector

privado que tengan de 50 a 249 trabajadores, cuyo plazo de transposición se

difiere hasta el 17 de diciembre de 2023).

192.- El deber de secreto profesional al que se refiere el transcrito artículo

44.2 de la Directiva, aplicable a todo el personal de cada autoridad de control,

no puede resultar equivalente a la obligación profesional de confidencialidad

exigida a las personas autorizadas para tratar datos personales, a que se

refiere el artículo 22.3.b), resultando sumamente conveniente la


Secretaría General


incorporación al Anteproyecto, además de la necesaria regulación específica

de este deber, la determinación de sanciones disciplinarias específicas que

refuercen, frente al ciudadano, el deber de sigilo que pesa sobre quienes

tengan conocimiento por razón de su cargo de los datos a que se refiere el

Anteproyecto, asegurando al máximo, en los límites de lo jurídicamente

posible, la efectividad del deber de secreto profesional.

193.- Asimismo, tal y como se ha expuesto más arriba, debe incorporarse a

este artículo del Anteproyecto una cláusula de salvaguarda de las funciones

del Consejo General del Poder Judicial como autoridad de control, así como

para el caso de que se opte por la creación de un organismo específico para

el Ministerio Fiscal.

c) Previsiones en materia sancionadora

194.- El estudio de capítulo VIII del Anteproyecto, dedicado al régimen

sancionador, parte de la libertad de configuración conferida al legislador

nacional en el artículo 57 y Considerando 89 de la Directiva.

195.- Como señala la Exposición de Motivos “[e]l capítulo VIII regula el

régimen sancionador aplicable ante incumplimientos de las obligaciones

previstas en esta ley orgánica. Se definen los sujetos sobre los que recaerá

la responsabilidad por las infracciones cometidas. Asimismo, se determinan

las normas de conflicto para resolver los casos en los que un hecho pueda

ser calificado con arreglo a dos o más normas. Se tipifican las infracciones,

que, en función de su gravedad, podrán ser leves, graves o muy graves. Y se

establecen las sanciones que se pueden imponer, y se fijan los plazos de

prescripción tanto de las infracciones como de las sanciones y de caducidad.”

196.- Desde la STC 18/1981, de 8 de junio, FJ 2, el Tribunal Constitucional

viene reiterando la aplicabilidad de las garantías contenidas en el artículo

24.2 CE a los procedimientos administrativos sancionadores, en tanto que

manifestación del ius puniendi del Estado, con las matizaciones que resulten

del equilibrio entre su propia naturaleza y de la necesidad de preservar los

valores esenciales que se encuentran en la base de dicho precepto y la

seguridad jurídica que garantiza el art. 9.3 CE (entre muchas, SSTC 44/1983,

de 24 de mayo, FJ 3; 28/1989, de 6 de febrero, FJ 6; 3/1999, de 25 de enero,

FJ 4; 117/2002, de 20 de mayo, FJ 5; 205/2003, de 1 de diciembre, FJ 3;


Secretaría General


35/2006, de 13 de febrero, FJ 3; 272/2006, de 25 de septiembre, FJ 2;

70/2008, de 23 de junio, FJ 4, y 82/2009, de 23 de marzo, FJ 3).

197.- El prelegislador ha venido a configurar gran parte de los tipos

infractores recogidos en los artículos 50, 51 y 52 del Anteproyecto

utilizando conceptos jurídicos que podrían calificarse de abiertos o adolecer

de la suficiente concreción como “las medidas de seguridad adecuadas”,

“medidas técnicas y organizativas que resulten apropiadas”, “grave perjuicio

para los derechos y libertades de los interesados” que resultan contrarios a

la taxatividad y certeza que demanda el Derecho sancionador.

198.- Así, y sin perjuicio de las observaciones ya formuladas a lo largo del

presente informe, deben ser objeto de revisión, al no ajustarse a los

parámetros que demanda el Derecho sancionador, los siguientes tipos

infractores recogidos en el Anteproyecto: el artículo 50.a) que tipifica “[e]l

tratamiento de datos personales que vulneren gravemente los principios y

garantías establecidos en el artículo 4”, por cuanto el artículo 4 únicamente

trata de principios y no de garantías; el artículo 50.k) del Anteproyecto

que tipifica como infracción muy grave “[l]a vulneración del deber de

confidencialidad establecido en el artículo 23”, sin que el artículo 23

establezca deber de confidencialidad alguno; el artículo 50.n) que tipifica

como infracción muy grave “[l]La adopción de decisiones individuales


artículo 12 determine debidamente cuales son éstas garantías; los artículos

50.g), 51.g) y 51.j) y 52.a) que tipifican diferentes infracciones


técnicas y organizativas exigibles; los artículos 50.p) y 52.n) y o) que

tipifican infracciones relacionadas con el incumplimiento de las notificaciones

a que se refiere el artículo 32.1 que deja en manos del responsable del

tratamiento la valoración de cuándo una violación de la seguridad de los datos

personales supone “un alto riesgo para los derechos y libertades de las

personas físicas”; los artículos 51.a) y 52.c) que tipifican como infracción

grave y leve, respectivamente, “[e]l incumplimiento de los plazos de

conservación exigibles en virtud del artículo 6”, en tanto el artículo 6 no

determina dichos plazos; el artículo 51.p) que se refiere de manera

cumulativa -y no alternativa- a las acciones de “acceso, cesión, alteración y

divulgación de los datos”; el artículo 52.a) al tipificar la infracción en base

al concepto jurídico indeterminado de “debida diligencia”.


Secretaría General


199.- Igualmente, los apartados f) y l) del artículo 50 del Anteproyecto,

deberían ser objeto de revisión, por cuanto, al margen de las carencias

observadas en relación al contenido y redacción del artículo 11 APLO, parecen

querer sancionar el mismo tipo infractor, al tipificar, respectivamente, como

infracción muy grave las siguientes conductas:

«f) El tratamiento de datos personales de las categorías especiales sin

que concurra alguna de las circunstancias previstas en el artículo 11.

l) La recogida y el tratamiento de categorías especiales de datos de

carácter personal al margen de los casos previstos en el artículo 11.»

200.- De lo expuesto deriva la necesidad de revisar los tipos infractores

propuestos a fin de adecuarlos a la doctrina del Tribunal Constitucional que,

respecto a las garantías del derecho a la legalidad sancionadora, ha

establecido en la STC 242/2005, de 10 de octubre, en cuanto a que la

garantía material «aparece derivada del mandato de taxatividad o de lex

certa y se concreta en la exigencia de predeterminación normativa de las

conductas ilícitas y de las sanciones correspondientes, que hace recaer sobre

el legislador el deber de configurarlas en las leyes sancionadoras con la mayor

precisión posible para que los ciudadanos puedan conocer de antemano el

ámbito de lo proscrito y prever, así, las consecuencias de sus acciones. En

consecuencia, continúa, la garantía material implica que la norma punitiva

permita predecir con suficiente grado de certeza las conductas que

constituyen infracción y el tipo y grado de sanción del que puede hacerse

merecedor quien la cometa, lo que conlleva que no quepa

constitucionalmente admitir formulaciones tan abiertas por su amplitud,

vaguedad o indefinición, que la efectividad dependa de una decisión

prácticamente libre y arbitraria del intérprete y juzgador (por todas, SSTC

100/2003, de 2 de junio, FJ 2, y 26/2005, de 14 de febrero, FJ 3)».

201.- El artículo 53 del Anteproyecto, bajo la rúbrica “[s]anciones”,

señala que:

«Por la comisión de las infracciones tipificadas en esta ley orgánica se

impondrán las siguientes sanciones:

1. En caso de que el sujeto responsable sea algunos de los enumerados

en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, se

impondrán las sanciones y se adoptarán las medidas establecidas en

dicho artículo.

2. En caso de que el sujeto infractor sea distinto de los señalados en

el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, podrá

ser sancionado, además, con multa de la siguiente cuantía: […]»


Secretaría General


202.- Debe destacarse que el artículo 77 de la LO 3/2018 se refiere al

régimen aplicable a determinadas categorías de responsables o encargados

del tratamiento, incluyendo el apartado 1 de dicho precepto a los órganos

constitucionales o con relevancia constitucional y las instituciones de las

comunidades autónomas análogas a los mismos; los órganos jurisdiccionales;

la Administración General del Estado, las Administraciones de las

comunidades autónomas y las entidades que integran la Administración

Local; los organismos públicos y entidades de Derecho público vinculadas o

dependientes de las Administraciones Públicas; las autoridades

administrativas independientes; el Banco de España; las corporaciones de

Derecho público cuando las finalidades del tratamiento se relacionen con el

ejercicio de potestades de derecho público; las fundaciones del sector

público; las Universidades Públicas; los consorcios y los grupos

parlamentarios de las Cortes Generales y las Asambleas Legislativas

autonómicas, así como los grupos políticos de las Corporaciones Locales.

203.- Atendido el contenido del artículo 77 de la LO 3/2018, se sugiere

modificar la redacción del artículo 53 APLO declarando que en caso de que el

sujeto responsable sea algunos de los enumerados en el artículo 77.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, será de aplicación lo dispuesto en

dicho precepto, debiendo aclarar y concretar debidamente el significado del

adverbio “además” incorporado al apartado 2 del precepto proyectado.

204.- En el artículo 54 APLO, “[p]rescripción de las infracciones y

sanciones”, si bien se mantienen los plazos de prescripción de las sanciones

recogidos en el apartado 1 del artículo 30 de la Ley 40/2015, se modifican

los plazos de prescripción de las infracciones establecidos en el citado

precepto básico.

205.- A pesar de que el artículo 30.1 LRJSP habilita a la normativa sectorial

a introducir modificaciones al señalar que «[l] Las infracciones y sanciones

prescribirán según lo dispuesto en las leyes que las establezcan», resultaría

conveniente que la MAIN explicara la razón de ser de esta modificación,

complementando la afirmación de que «[…] se regulan los supuestos de la

prescripción de infracciones y sanciones, partiendo de la exigencia

constitucional del conocimiento de los hechos que se imputan a la persona y

de la notificación formal de la sanción» (página 24 de la MAIN).


Secretaría General


206.- A diferencia del artículo 132 de la hoy derogada Ley 30/1992, de 26

de noviembre, de Régimen Jurídico de las Administraciones Públicas y del

Procedimiento Administrativo Común, que al tratar del inicio del cómputo de

la prescripción no recogía mención alguna a las infracciones permanentes o

continuadas, el apartado 2 del artículo 30 de la LRJSP se refiere

expresamente a ellas señalando que “[e]n el caso de infracciones continuadas

o permanentes, el plazo comenzará a correr desde que finalizó la conducta

infractora”.

207.- El segundo párrafo del apartado 1 del artículo 54 APLO establece que:

«Los plazos señalados en esta Ley se computarán desde el día en que se haya

cometido la infracción. No obstante, en los casos de infracciones continuadas

y de infracciones de efectos permanentes, los plazos se computarán,

respectivamente, desde el día en que se realizó la última infracción y desde

que se eliminó la situación ilícita.»

208.- El dies a quo establecido para las infracciones de efectos permanentes,

desde que se eliminó la situación ilícita, se entiende acorde con la

Jurisprudencia del Tribunal Supremo al hilo de infracciones consistentes en la

constancia de datos personales incorporados o mantenidos ilícitamente en

ficheros o registros, en las que el plazo de prescripción no empezará a

computarse mientras la infracción (esto es, la anotación) siga vigente, por

todas, Sentencias de la Sala Tercera del Tribunal Supremo de 23 de mayo de

2011 (ECLI:ES:TS:2011:2954) y de 29 de mayo de 2019, recurso de casación

1857/2018 (ECLI:ES:TS:2019:1709) y Sentencia de la Sala Primera del

Tribunal Supremo 596/2019, de 7 de noviembre, recurso de casación

5883/2018 (ECLI:ES:TS:2019:3524).

209.- Se sugiere modificar la redacción del párrafo cuarto del apartado 1

del artículo 54 APLO a fin de determinar, con la debida concreción, el

órgano administrativo al que se hace mención.

210.- A fin de favorecer la claridad de las normas y el principio de seguridad

jurídica, aun cuando pueda deducirse que en lo no previsto en el régimen

sancionador específico recogido en la norma proyectada se aplicará el

régimen general, podría resultar conveniente la incorporación de una

remisión o previsión de supletoriedad de lo dispuesto en las Leyes 39/2015,

de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico

del Sector Público.


Secretaría General


d) Consideraciones de índole técnico-legislativa

211.- Expuestos aquellos preceptos del texto proyectado que adolecen de

calidad suficiente para dar cumplimiento al mandato de reserva de ley

establecido en el artículo 53.1 de la Constitución, por no concretar con la

debida precisión o certeza las injerencias en el derecho fundamental afectado,

así como lo relativo al principio de legalidad en materia sancionadora;

atendiendo al principio de colaboración entre los órganos constitucionales, se

ha de hacer seguidamente referencia a cuestiones de técnica legislativa o de

orden terminológico, con el fin de contribuir a mejorar la corrección del texto

remitido.

212.- Se sugiere revisar la redacción del párrafo primero del apartado II

de la Exposición de Motivos del APLO en tanto al afirmar que la Decisión

Marco 2008/977/JAI “había sido superada por varias razones” parece omitir

el pronombre relativo “que”.

213.- El párrafo segundo del apartado III de la Exposición de Motivos

hace referencia a los atentados de Bruselas y Niza de 2016, sugiriéndose se

valore la conveniencia de hacer, igualmente, alusión a los atentados de

Madrid del 11 de marzo de 2004 y de Barcelona y Cambrils sufridos en agosto

de 2017 en coherencia con el contenido del Real Decreto 1008/2017, de 1 de

diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2017 y

de la Orden PCI/179/2019, de 22 de febrero, por la que se publica la

Estrategia Nacional contra el Terrorismo 2019, aprobada por el Consejo de

Seguridad Nacional.

214.- En el apartado 5 del artículo 13, el texto proyectado limita la

consideración de solicitud excesiva a aquellas que tengan carácter repetitivo,

a diferencia del artículo 12.4 de la Directiva, por lo que se sugiere la

adecuación de la redacción de dicho apartado a los términos previstos en el

citado precepto de la Directiva.

215.- El artículo 15.4 APLO señala que “[c]uando el interesado elija un

medio distinto al que se le ofrece que suponga un coste desproporcionado, la

solicitud será considerada excesiva, por lo que dicho interesado asumirá el

exceso de coste que su elección comporte”, sugiriéndose la modificación de

la redacción propuesta en orden a clarificar y concretar, debidamente, el

concepto de “exceso de coste”.


Secretaría General


216.- El apartado 3.b) del artículo 23 del Anteproyecto, al referirse al

contenido mínimo del contrato u otro acto jurídico que ha de disciplinar el

tratamiento por medio de encargado incluye la necesidad de “[g]arantizar

que las personas autorizadas para tratar datos personales se hayan

comprometido a respetar la confidencialidad o estén sujetas a una obligación

profesional de confidencialidad”.

217.- Esta referencia ha de ponerse en conexión con el artículo 50.k) del

Anteproyecto que tipifica como infracción muy grave “[l]a vulneración del

deber de confidencialidad establecido en el artículo 23”.

218.- Del contenido del artículo 23.3.b) APLO se desprende que dicho

precepto no establece deber de confidencialidad alguno, debiendo insistir en

la importancia de contar con una regulación específica de un deber reforzado

de confidencialidad, que puede venir dado, bien por la asunción de un

compromiso, bien por una obligación legal, junto con la determinación de

sanciones específicas que aseguren el deber de sigilo que pesa sobre quienes

tengan conocimiento por razón de su empleo de los datos a que se refiere el


posible, la efectividad del deber de confidencialidad.

219.- En el apartado 1 del artículo 30 APLO se incorpora, nuevamente, una

referencia abierta a la obligación de aplicar “las medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado”

que debe entenderse carente de la necesaria concreción y determinación. A

título ejemplificativo podrían traerse a colación lo dispuesto en el artículo 16

de la Decisión 2007/533/JAI del Consejo de 12 de junio de 2007, relativa al

establecimiento, funcionamiento y utilización del Sistema de Información de

Schengen de segunda generación (SIS II) al disponer la necesidad de contar

con las medidas de seguridad adecuadas para:

“a) proteger los datos físicamente, entre otras cosas mediante la

elaboración de planes de emergencia para la protección de

infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones

utilizadas para el tratamiento de datos personales (control en la

entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados,

modificados o retirados por una persona no autorizada (control de los

soportes de datos);


Secretaría General


d) impedir que en el fichero se introduzcan sin autorización, o que

puedan conocerse, modificarse o suprimirse sin autorización, datos

personales almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos

puedan ser utilizados por personas no autorizadas por medio de

instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento

automatizado de datos, las personas autorizadas solo puedan tener

acceso a los datos que sean de su competencia y ello únicamente con

identificaciones de usuario personales e intransferibles y con modos de

acceso confidenciales (control del acceso);

g) establecer perfiles que describan las funciones y responsabilidades

de las personas autorizadas a acceder a los datos o a las instalaciones

de tratamiento de datos, y poner a disposición del Supervisor Europeo

de Protección de Datos a que se refiere el artículo 61, sin dilación al

recibir la solicitud de este, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a qué autoridades

pueden ser remitidos datos personales a través de las instalaciones de

transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori qué

datos personales se han introducido en el sistema de tratamiento

automatizado de datos, en qué momento y por qué persona han sido

introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de

criptografiado, que, en el momento de la transmisión de datos

personales y durante el transporte de soportes de datos, los datos

puedan ser leídos, copiados, modificados o suprimidos sin autorización

(control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el

presente apartado y adoptar las medidas de organización que sean

necesarias en relación con la supervisión interna, a fin de garantizar el

cumplimiento de la presente Decisión (control interno).”

220.- Al mismo tiempo, se valora positivamente la referencia al cumplimiento

de las medidas incluidas en el Esquema Nacional de Seguridad, creado por el

artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los


Secretaría General


ciudadanos a los servicios públicos, buscando establecer los principios básicos

y requisitos mínimos requeridos para una protección adecuada de la

información, con la finalidad de afianzar la confianza en el uso de los medios

electrónicos, a través de medidas para garantizar la seguridad de los

sistemas, los datos, las comunicaciones, y los servicios electrónicos, que

permita a los ciudadanos y a las Administraciones públicas, el ejercicio de

derechos y el cumplimiento de deberes a través de estos medios. Se

encuentra regulado en el Real Decreto 3/2010, de 8 de enero, por el que se

regula el Esquema Nacional de Seguridad en el ámbito de la Administración

Electrónica, modificado por el Real Decreto 951/2015, de 23 de octubre.

221.- La redacción del apartado 1 del artículo 38, que se corresponde con

el artículo 37.1 de la Directiva, ha de adecuarse a la naturaleza y finalidad

del texto proyectado, eliminando en consecuencia la referencia a “los Estados

miembros”.

222.- La función de “[i]nformar todas las disposiciones legales o

reglamentarias que afecten a tratamientos sometidos a esta ley orgánica” a

que se refiere la letra m) del artículo 42.1 del Anteproyecto, prevista en

el artículo 28.2 de la Directiva, deberá ser tenida en cuenta en la futura

tramitación de las normas, prevista en los artículos 127 y siguientes de la Ley

39/2015 y en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del

Gobierno y en la correspondiente normativa autonómica.

223.- La disposición adicional segunda APLO, rubricada “[f]icheros y

Registro de Población de las Administraciones Públicas”, señala que:

“1. Las autoridades competentes podrán solicitar al Instituto Nacional

de Estadística, sin consentimiento del interesado, una copia actualizada

del fichero formado con los datos del nombre, apellidos, domicilio, sexo

y fecha de nacimiento que constan en los padrones municipales de

habitantes y en el censo electoral correspondientes a los territorios

donde ejerzan sus competencias.

2. Los datos obtenidos tendrán como único propósito el cumplimiento

de los fines de prevención, detección, investigación o enjuiciamiento

de infracciones penales o de ejecución de sanciones penales, así como

de protección y de prevención frente a las amenazas contra la

seguridad pública y la comunicación de estas autoridades con los

interesados residentes en los respectivos territorios, respecto a las


Secretaría General


relaciones jurídico-administrativas derivadas de las competencias

respectivas.”

224.- Conforme a la Resolución de 28 de julio de 2005, de la Subsecretaría

del Ministerio de la Presidencia por la que se da publicidad al Acuerdo del

Consejo de Ministros, de 22 de julio de 2005, por el que se aprueban las

Directrices de técnica normativa, las disposiciones adicionales “podrán

incorporar las reglas que no puedan situarse en el articulado sin perjudicar

su coherencia y unidad interna”, por lo que se sugiere valorar la conveniencia

de su incorporación al articulado (por ejemplo en el propio artículo 5 o tras el

mismo), junto con la necesidad de abordar en la MAIN referencia y explicación

sobre el contenido de la misma.

225.- En cuanto al apartado 2 de la disposición adicional segunda se sugiere

delimitar correctamente la referencia a “estas autoridades”, que parece aludir

a las autoridades competentes definidas en el artículo 2.3 del Anteproyecto,

así como la posibilidad de utilización de los datos obtenidos para “la

comunicación de estas autoridades con los interesados residentes en los

respectivos territorios, respecto a las relaciones jurídico-administrativas

derivadas de las competencias respectivas”.

226.- El Anteproyecto carece de disposición derogatoria, déficit que debe ser

corregido.

227.- La disposición final sexta del Anteproyecto modifica la rúbrica y el

contenido del artículo 69 de la Ley 5/2014, de 4 de abril, de Seguridad Privada

incorporando, entre otros extremos, un nuevo apartado 1 del siguiente tenor

literal:

“1. El ejercicio de la potestad sancionadora en materia de seguridad

privada se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre,

del Procedimiento Administrativo Común de las Administraciones

Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del

Sector Público y sus disposiciones de desarrollo, sin perjuicio de las

especialidades que se regulan en este título.”

228.- Como ha destacado el Consejo de Estado en diversos dictámenes, por

ejemplo en el dictamen 319/2018, de 21 de junio, “ninguna de estas leyes

tiene desarrollo reglamentario, ni está previsto que lo tenga en el ámbito

sancionador”, habiendo incorporado la Ley 39/2015, de 1 de octubre, las

especialidades sobre el procedimiento sancionador que recogía el Reglamento

para el ejercicio de la potestad sancionadora, aprobado por Real Decreto


Secretaría General


1398/1993, de 4 de agosto, que se encuentra derogado, por lo que se sugiere

la supresión de la referencia a las disposiciones de desarrollo.

229.- Las páginas 26 a 30 de la MAIN recogen una tabla de

correspondencia entre los preceptos de la Directiva y su correspondiente

transposición en los artículos del anteproyecto de ley orgánica, sugiriéndose

la revisión de dicha tabla al haberse observado divergencia con algunos de

los preceptos del texto remitido, (por ejemplo, artículo 53 APLO, disposición

adicional “única”, etc.).

e) Propuesta de modificación de los artículos 236 bis a 236 decies

LOPJ

230.- Más allá de la puntual modificación en el artículo 236 bis LOPJ

propuesta más arriba, el Anteproyecto constituye una buena oportunidad

para realizar una mínima actualización del contenido de la regulación del

capítulo I bis del Título III del Libro II de la LOPJ y adecuarlo a la normativa

vigente.

231.- Así, deberían sustituirse las referencias a la Ley Orgánica 15/1999 por

la referencia, más genérica, a la normativa o la legislación en materia de

protección en los artículos 236 quater, párrafo segundo; 236 sexies, apartado

1; y, 236 nonies, apartado 1.

232.- El artículo 236 quater, primer párrafo, excluye el consentimiento como

base jurídica para el tratamiento de datos con fines jurisdiccionales «De

conformidad con lo dispuesto en el artículo 11.2 de la Ley Orgánica 15/1999,

de 13 de diciembre». Resulta necesario suprimir este inciso del precepto,

manteniendo el resto del párrafo. En efecto, de acuerdo con lo previsto en el

RGPD, la base jurídica que ampara la licitud del tratamiento de datos con

fines jurisdiccionales es la prevista en el artículo 6.1.e) RGPD que habilita el

tratamiento de datos necesario para el cumplimiento de una misión realizada

en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Asimismo, en relación con esta base jurídica, el artículo 9.2.f) RGDP habilita

el tratamiento de las categorías especiales de datos cuando los tribunales

actúen en ejercicio de su función judicial.

233.- En el artículo 236 sexies, apartado 2, in fine, la referencia a la

responsabilidad disciplinaria derivada de la comisión de una infracción en

materia de protección de datos «a la que se refiere el artículo 46.2 de la Ley


Secretaría General


Orgánica 15/1999, de 13 de diciembre» debe actualizarse remitiéndose «a la

que se refiere el artículo 77.2 de la Ley Orgánica 3/2018, de 1 de diciembre».

234.- Por otro lado, las menciones que se contienen en los artículos 236 bis

a 236 decies a los «ficheros» deben ser sustituidas por «tratamientos». en

los artículos 236 ter, apartado 2, en sus dos párrafos; artículo 236 sexies,

apartado 1, en sus dos párrafos, y apartado 3; artículo 236 octies, apartado

2.

235.- El contenido del artículo 236 septies relativo a la creación, modificación

y supresión de ficheros de los tribunales debería ser suprimido. En su lugar,

sería muy conveniente regular en la LOPJ las obligaciones y responsabilidades

que corresponden a las administraciones prestacionales en el ámbito de la

seguridad de los datos personales objeto de tratamiento mediante los

sistemas de gestión procesal y demás programas y aplicaciones al servicio de

la Administración de Justicia.

236.- El artículo 33.5 LOPDGDD prevé la posibilidad de que, en el ámbito del

sector público, puedan atribuirse las competencias propias de un encargado

del tratamiento a un órgano de la Administración General del Estado o de las

comunidades autónomas a través de la adopción de una norma reguladora

de dichas competencias. En este sentido, el artículo 236 septies LOPJ puede

ser el lugar idóneo para el establecimiento de las obligaciones que

corresponden a las Administraciones con competencias en materia de

administración de la Administración de Justicia en tanto que encargados del

tratamiento de datos tanto con fines jurisdiccionales como con fines no

jurisdiccionales. Así, algunas de las obligaciones que en la normativa general

se atribuyen al responsable del tratamiento, respecto de los tratamientos de

datos en el ámbito de la Administración de Justicia, resultan claramente fuera

del alcance de los órganos jurisdiccionales y de las oficinas judiciales, como

responsables del tratamiento ex artículo 236 sexies.1 LOPJ, tales como el

análisis de riesgos, las evaluaciones de impacto o la protección de datos

desde el diseño y por defecto, o el establecimiento de registro de operaciones,

por lo que resulta pertinente atribuir a las administraciones prestacionales el

desarrollo de estas medidas de seguridad de los datos en relación con los

medios técnicos e informáticos que ponen a disposición de juzgados y

tribunales.

237.- Cabe señalar la conveniencia de dar nueva redacción al artículo 236

octies.1 LOPJ con el fin de acomodar la nomenclatura de los derechos a la


Secretaría General


normativa vigente. Así, en lugar de «los derechos de acceso, rectificación,

cancelación y oposición en relación con los datos tratados con fines

jurisdiccionales» debería hacerse referencia a «los derechos de acceso,

rectificación, supresión y limitación del tratamiento en relación con los datos

tratados con fines jurisdiccionales».

238.- Finalmente, en esta necesaria labor de actualización de los artículo 236

bis y siguientes de la LOPJ, debe también modificarse el artículo 236 decies

LOPJ referido a los tratamiento de datos del Consejo General del Poder

Judicial, eliminado todo lo referente a la creación, modificación y supresión

de los ficheros, por las razones ya expuestas, manteniendo, en todo caso, la

consideración de la Secretaría General de este órgano constitucional como

responsable de los tratamientos realizados en el ejercicio de las competencias

del Consejo.

VI. CONCLUSIONES

PRIMERA.- El marco normativo a tener presente en el anteproyecto objeto

del presente informe viene delimitado, de un lado, en un plano de primacía,

por los artículos 7 y 8 CDFUE (que tiene el mismo valor jurídico que los

Tratados), el RGPD, las Directivas y la jurisprudencia del TJUE y del TEDH,

en la medida en que aquel se remita a este; y de otro, por el Ordenamiento

interno español, comenzando por el artículo 18.1 y 4 CE y la doctrina del

Tribunal Constitucional.

SEGUNDA. - Conforme al artículo 63 de la Directiva (UE) 2016/680, el plazo

de transposición de la misma finalizó el 6 de mayo de 2018; lo que debería

llevar a una futura reflexión sobre los tiempos de transposición de Directivas

a nuestro Ordenamiento interno, a fin de abordar esta importante y necesaria

función sin precipitación, de manera ordenada y con el sosiego deseable para

obtener el mejor de los resultados.

TERCERA. - La confusión de planos entre el objeto propio de la reserva de

ley orgánica del artículo 81.1 CE y ordinaria del artículo 53.1 CE se aprecia

en el artículo 1.1 del Anteproyecto. Según dice, «[e]sta ley orgánica tiene

por objeto regular el derecho fundamental, reconocido por el artículo 18.4 de

la Constitución […]». Este enunciado no es correcto ya que lo que la iniciativa

examinada se propone es, por un lado, el desarrollo con rango de ley orgánica


Secretaría General


del artículo 18.4 CE, pero solo con respecto a una determinada categoría de

tratamientos, y por otro, la regulación, a través de normas con rango de ley

ordinaria, de su ejercicio en ese mismo ámbito. Por consiguiente, este

Consejo considera que ha de reformularse debidamente.

CUARTA. - El apartado 2 del artículo 1 APLO establece una relación entre

la LOPDGDD y el presente anteproyecto sobre la base del principio de

especialidad. Aunque en un primer análisis, podría considerarse que no se

compadece con el principio de separación que establece el artículo 2.2.d

RGPD, que excluye la aplicación del Reglamento a los datos personales

tratados por las autoridades competentes para fines de prevención,


ejecución de sanciones penales, incluidas la protección y la prevención frente

a las amenazas contra la seguridad pública, exclusión que ha sido recogida

en el artículo 2.2.a de la LOPDGDD, en un análisis más detenido, cabe

considerar que en el marco de la transposición de la Directiva la norma

nacional puede establecer como supletoria la normativa interna de adaptación

del RGPD, con el límite de que esa aplicación supletoria no contradiga o

desvirtúe los establecido en la Directiva. Ahora bien, el precepto atribuye un

amplísimo margen de apreciación al aplicador a quien corresponde

determinar si el resultado de la aplicación de la LOPDGDG, como norma

supletoria, es contrario o no a tales fines.

QUINTA. - La redacción del apartado 2 del artículo 2 del Anteproyecto

debe cohonestarse con el artículo 22.6 LOPDGDG en el sentido de incorporar

como norma supletoria junto al RGPD la LOPGDG.

SEXTA.- No resulta clara la determinación del conjunto normativo aplicable

a la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para

grabar imágenes y sonidos en lugares públicos, abiertos o cerrados, y su

posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana,

la erradicación de la violencia y la utilización pacífica de las vías y espacios

públicos, así como de prevenir la comisión de delitos, faltas e infracciones

relacionados con la seguridad pública, actualmente regulado por la Ley

Orgánica 4 /1997, de 4 de agosto, y el Real Decreto 596/1999, de 16 de abril.

La Agencia Española de Protección de Datos ha venido sosteniendo que

resulta supletoriamente aplicable el RGPD, por lo que constituiría un

tratamiento con fines de videovigilancia que caería fuera del ámbito de la

Directiva 2016/679. El prelegislador debería introducir la precisión necesaria

sobre este aspecto en el artículo 2.2 del Anteproyecto.


Secretaría General


SÉPTIMA.- Respecto de la utilización de cámaras y videocámaras para el

control, regulación, vigilancia y disciplina de tráfico debería establecerse

algún criterio objetivo y accesible, más allá de la referencia a los fines del

tratamiento, que delimite claramente cuando el uso de cámaras en el

contexto del control y vigilancia del tráfico queda sujeto a su normativa

específica (Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se

aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a

Motor y Seguridad Vial) y supletoriamente al RGPD y la LOPDGDG y cuando

resultará de aplicación la Directiva 2016/680 y la ley orgánica de

transposición.

OCTAVA. - El artículo 2.3 APLO recoge la definición de autoridad

competente conforme a la recogida en el artículo 3.7),a) de la Directiva,

advirtiéndose por ello la improcedencia de la remisión, efectuada en el

artículo 3 APLO, a la definición de “autoridad competente”, por remisión al

RGPD, que además no incorpora en el listado de definiciones del artículo 4 la

de “autoridad competente”.

NOVENA. - La inclusión genérica, en el artículo 2.3 del Anteproyecto de

toda la Agencia Estatal de Administración Tributaria no parece ajustarse a la

definición de autoridad competente contenida en el artículo 3.7 de la

Directiva, en atención a la amplitud de fines de la Agencia respecto de los

específicos contemplados en la norma europea. La inclusión solo tendría

sentido si se acotara debidamente y, si así se hiciera, habría que hacer los

mismo con las autoridades equivalentes de los territorios forales por virtud

de la Disposición Adicional Primera CE, el EAPV y la LORAFNA.

DÉCIMA.- En el apartado 4 del artículo 2 se sugiere aclarar la referencia

a las infraestructuras críticas a la luz de la Ley 8/2011, de 28 de abril, por la

que se establecen medidas para la protección de las infraestructuras críticas

y, especialmente, de la definición a efectos penales de infraestructura crítica

introducida en el artículo 264.2,4ª del Código Penal por la L.O. 1/2015, de 30

de marzo, al abordar la transposición de la Directiva 2013/40/UE, relativa a

los ataques contra los sistemas de información.

UNDÉCIMA.- En el artículo 2.5 APLO, a partir del marco establecido en la

Directiva, el prelegislador ha optado por dar un tratamiento normativo

específico a la actividad de los órganos jurisdiccionales, consistente en

someter el tratamiento de datos personales con fines jurisdiccionales

efectuado por los órganos judiciales del orden penal a las previsiones


Secretaría General


específicas en materia de protección de datos contenidas en la Ley Orgánica

del Poder Judicial y a las normas procesales (art. 2.5 y art. 19.2 APLO),

estableciendo la aplicación de la Ley Orgánica proyectada como supletoria en

lo relativo al ejercicio de los derechos regulados en el capítulo III del

Anteproyecto (art. 2.5 in fine y art. 19.3 APLO). El APLO se sitúa, de este

modo, en línea con lo previsto en el artículo 2.4 LOPDGDD.

DECIMOSEGUNDA. - La LOPDGDD y el APLO comparten el mismo

planteamiento en cuanto a la sujeción de los tratamientos con fines

jurisdiccionales a la respectiva normativa de protección de datos. Ambas

parten de la consideración, que debe valorarse positivamente, de que el lugar

natural en el que debe regularse el ejercicio de los derechos de información,

acceso, supresión, oposición y limitación al tratamiento son las respectivas

leyes rituarias que ordenan el proceso. Es la ley procesal la que está en mejor

situación para efectuar la ponderación entre los derechos a la protección de

datos y a la tutela judicial efectiva de las partes y establecer las relaciones

de prevalencia condicionada entre uno y otro en función de los intereses en

juego en cada tipo de trámite en el curso del procedimiento, cohonestando

los principios esenciales del proceso de contradicción, audiencia, igualdad de

armas e interdicción de indefensión con las exigencias de la protección de

datos. En este sentido, se estima acertada la regulación contenida en el

artículo 2.5 del APLO.

DECIMOTERCERA.- El artículo 2.6 del APLO delimita el marco normativo

que debe regir los tratamientos de la fiscalía que caen dentro del ámbito de

aplicación de la Directiva, estableciendo que los tratamientos de la fiscalía

con fines de prevención, investigación, detección o enjuiciamiento de

infracciones penales o de ejecución de sanciones penales estaría integrada,

por este orden, por la LOPJ, las leyes procesales penales, lo previsto en el

capítulo III de la LO de transposición de la Directiva, y, por otro lado, por lo

dispuestos en el EOMF. En líneas generales, esta previsión del prelegislador

es conforme con la Directiva y está en línea con el planteamiento de la Fiscalía

General del Estado expresado en la Instrucción núm. 2/2019, sobre la

protección de datos en el ámbito del Ministerio Fiscal: el responsable y el

Delegado de Protección de Datos.

DECIMOCUARTA. - Debe advertirse que la remisión a la LOPJ como norma

reguladora de los tratamientos de datos con fines jurisdicciones llevados a

cabo por el Ministerio Fiscal en el ejercicio de sus funciones constitucionales

tiene como efecto situar este tipo de tratamientos bajo la competencia del


Secretaría General


Consejo General del Poder Judicial como autoridad de control respecto de los

tratamientos con fines jurisdiccionales (art. 236 nonies.1 LOPJ). Ciertamente,

el artículo 8.3 de la Carta exige, como uno de los contenidos del derecho

fundamental a la protección de datos, el sometimiento de los tratamientos a

una autoridad de control independiente. Por su parte, el Tribunal de Justicia

ha subrayado como elemento esencial de la efectividad del derecho la

garantía de la independencia de la autoridad de control. No cabe duda de que

el CGPJ como autoridad de control cumple los estándares de independencia

exigidos por la jurisprudencia del Tribunal de Justicia. Sin embargo, debe

ponerse de manifiesto que la Instrucción 2/2019 ha señalado, respecto de la

autoridad de control, que, para el tratamiento realizado por el MF en

cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales,

actualmente se contempla la posibilidad de creación de un organismo

específico en el MF que asuma esta función. En este sentido, parece

conveniente que el prelegislador aclare la opción deseada respecto de la

autoridad de control de los tratamientos realizados por el Ministerio Fiscal,

opción que deberá respetar, en todo caso, la garantía de independencia del

órgano por imperativo del artículo 8.3 de la Carta, en los términos

establecidos por la jurisprudencia del Tribunal de Justicia, y el RGPD. Además,

esa opción habría de ponderarse en el contexto de la anunciada reformulación

del proceso penal y de la posición del Ministerio Fiscal para proporcionar a

esta Institución una posición de independencia equiparable a la de otros

países europeos. Todo ello sin olvidar las consideraciones que al respecto hizo

el TJUE en su Sentencia de 27 de mayo de 2019, Fiscalía de Lübeck, sobre

los asuntos acumulados C-508/18) y otros.

DECIMOQUINTA.- Se ha de destacar la ausencia de mención en la

delimitación del ámbito de aplicación del Anteproyecto a los tratamientos

efectuados por el Tribunal de Cuentas, al que corresponde el enjuiciamiento

de la responsabilidad contable en que incurran quienes tengan a su cargo el

manejo de caudales o efectos públicos, constituyendo el enjuiciamiento

contable, jurisdicción propia del Tribunal de Cuentas, necesaria e

improrrogable, exclusiva y plena, que se ejerce respecto de las cuentas que

deban rendir quienes recauden, intervengan, administren, custodien,

manejen o utilicen bienes, caudales o efectos públicos, conforme a lo

dispuesto en la Ley Orgánica 2/1982, de 12 de mayo, del Tribunal de Cuentas

y en la Ley 7/1988, de 5 de abril, de Funcionamiento del Tribunal de Cuentas.

DECIMOSEXTA. - Atendida la discordancia entre la delimitación de los

tratamientos excluidos a que se refieren el párrafo cuarto del apartado IV de


Secretaría General


la Exposición de Motivos, el artículo 2.7 letra e) APLO y la página 17 de la

MAIN se ha de recordar la necesidad, reiterada por la Jurisprudencia, de que

en esta materia las normas sean claras, precisas y limitadas estrictamente a

lo necesario. Es preciso, por lo tanto, que el Anteproyecto concrete

debidamente los tratamientos de datos personales que quedan fuera del

ámbito de aplicación de la Ley.

DECIMOSÉPTIMA. - La técnica empleada por el artículo 3 del

Anteproyecto para establecer las definiciones resulta incorrecta, pues o bien

se incorporan expresamente las definiciones contenidas en la Directiva

2016/680 o bien se remite a lo establecido en esta norma europea. En el

contexto de transposición de esta Directiva, es erróneo remitir a las

definiciones contenidas en el RGPD, a pesar de la similitud de ambas normas

en cuanto a las definiciones.

DECIMOCTAVA. - En el artículo 4 APLO que regula los “[p]rincipios

relativos al tratamiento de datos personales”, ha de entenderse que el

apartado 4 de este precepto no incorpora debidamente al Derecho español la

previsión establecida en el artículo 4,4 de la Directiva toda vez que ésta exige

al responsable del tratamiento ser “capaz de demostrar el cumplimiento” de

lo dispuesto en el referido precepto.

DECIMONOVENA. - En el artículo 5 APLO, sin equivalente en la Directiva,

referido a la “[c]olaboración con las autoridades competentes”, la referencia

a la exigencia de autorización judicial del apartado 2 resulta inadecuada toda

vez que parece aplicarse únicamente, a las Administraciones públicas y no a

“cualquier persona física o jurídica”. Por lo demás, cabría plantearse si esta

referencia se encuentra incluida en lo dispuesto en el apartado 3 del mismo

precepto, al disponer con carácter general que “[n]o será de aplicación lo

dispuesto en los apartados anteriores cuando, legalmente, sea exigible la

autorización judicial para recabar los datos necesarios a los fines del artículo

1”, por tanto, con carácter general todos aquellos supuestos en los que

resulten afectados o comprometidos derechos fundamentales. En cualquier

caso, la obligación de proporcionar a las autoridades competentes que los

soliciten, los datos, informes, antecedentes y justificantes, a que se refieren

los apartados 1 y 2 del artículo 5.2 APLO no puede conllevar la atribución de

facultades ilimitadas a las referidas autoridades competentes.

VIGÉSIMA. - La dicción del artículo 5.3 del Anteproyecto, al establecer

que no será de aplicación lo dispuesto en los apartados anteriores,


Secretaría General


aparentemente permitiría comunicaciones masivas de datos o de

interconexiones o volcados de ficheros si se cuenta con autorización judicial.

Debe recordarse que toda injerencia o restricción de un derecho fundamental,

aun judicialmente autorizada, debe respetar el principio de proporcionalidad,

esto es, debe ser idónea, necesaria y proporcionada en relación con un fin

constitucionalmente legítimo. Por ello, es conveniente introducir en el artículo

5.3 del Anteproyecto una expresa referencia al principio de proporcionalidad

como límite que deberá respetar la autorización judicial.

VIGESIMOPRIMERA.- Dado que el artículo 5.5 APLO prevé que, a fin de

garantizar la actividad investigadora, los sujetos a los que el ordenamiento

jurídico imponga un específico deber de colaboración con las autoridades

competentes para el cumplimiento de los fines establecidos en el artículo 1

no informarán al interesado de la transmisión de sus datos a dichas

autoridades, podría valorarse que el incumplimiento de esta obligación

tuviera el debido reflejo en el Capítulo VIII del Anteproyecto dedicado al

régimen sancionador.

VIGESIMOSEGUNDA.- El artículo 6 APLO, con la única excepción del plazo

máximo de revisión periódica -de cinco años-, no da cumplimiento al mandato

establecido en el artículo 5 de la Directiva, que obliga a fijar plazos apropiados

para la supresión de los datos personales, sin que la referencia al tiempo

necesario para cumplir los fines previstos en el artículo 1 pueda resultar

equivalente a la fijación de plazo alguno, ni respetuosa con el principio de

reserva de ley, plazos cuyo incumplimiento se tipifica en el Anteproyecto

como infracción grave y leve (artículos 51,a) y 52,c) APLO). Este precepto

del Anteproyecto debería precisar los plazos apropiados de conservación y

establecer las garantías adecuadas para las normas de procedimiento

garanticen el cumplimiento de dichos plazos, tal y como exige el artículo 5 de

la Directiva.

VIGESIMOTERCERA.- Aun cuando nada disponga al respecto la Directiva,

podría valorarse la inclusión en el Anteproyecto de alguna previsión relativa

a que el almacenamiento, tratamiento y análisis de los datos se lleve a cabo

en lugares seguros dentro del territorio nacional, de manera similar a lo

establecido en el artículo 6.8 de la Directiva (UE) 2016/681 relativa a la

utilización de datos del registro de nombres de los pasajeros (PNR) para la

prevención, detección, investigación y enjuiciamiento de los delitos de

terrorismo y de la delincuencia grave, de manera coherente con lo afirmado

por el TJUE en el caso Digital Rights Ireland ya que el almacenamiento seguro


Secretaría General


de los datos es un requisito para considerar legítima su conservación,

debiendo interpretar que este concepto comprende las actividades

relacionadas con los servicios de computación en nube, que abarcan toda una

serie de actividades que pueden realizarse según diferentes modelos e

incluyen recursos tales como las redes, servidores u otras infraestructuras,

sistemas de almacenamiento, aplicaciones…, que el proveedor de servicios

en nube podría asignar, en principio, con independencia de la localización

geográfica de los recursos de computación en nube.

VIGESIMOCUARTA. - El Artículo 7 regula la distinción entre diferentes

categorías de interesados Distinción entre categorías de interesados

(personas sospechosas, personas condenadas, víctimas y terceros). En la

transposición del artículo 6 de la Directiva cabe observar el Anteproyecto va

más allá de lo permitido por el precepto del Derecho de la Unión al incluir

también las infracciones relativas a la protección y prevención frente a

amenazas contra la seguridad pública. Debe recordarse que, como expone el

considerando 13 de la Directiva, «una infracción penal en el sentido de lo

dispuesto en la presente Directiva debe ser un concepto autónomo del

Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la

Unión Europea». El prelegislador ha optado por una interpretación extensiva

de infracción penal incluyendo también infracciones administrativas respecto

de la que no se identifica en la MAIN o la exposición de motivos la

jurisprudencia del Tribunal de Justicia que la avala. Por otro lado, en la

categoría de interesados descrita en la letra a del artículo 7 («personas

respecto de las cuales existan motivos fundados para presumir que hayan

cometido o puedan cometer una infracción penal […]») debe tenerse en

cuenta la dimensión extraprocesal de la presunción de inocencia (SSTC

244/2007, de 10 de diciembre, y 133/2018, de 13 de diciembre).

VIGESIMOQUINTA. - La referencia, genérica y abierta, a la adopción por

parte de las autoridades competentes de “todas las medidas razonables” que

recoge artículo 8.2 del Anteproyecto, limitándose a reproducir el mandato

establecido en el artículo 7.2 de la Directiva, no estaría dotada de la necesaria

claridad y precisión al no recoger, ni siquiera indicativamente, unos

parámetros de lo que debe entenderse como integrador del canon de

razonabilidad al que alude. Además, la Directiva en el artículo 7.2 establece

un mandato de no transmitir o poner a disposición de terceros datos

inexactos, incompletos o que no estén actualizados. En cambio, el

Anteproyecto parte de una regla opuesta: permite la transmisión o puesta a

disposición sujeta a la carga de trasladar al destinatario la valoración sobre


Secretaría General


la calidad, exactitud y actualización, por lo que debe subrayarse que el

prelegislador, en este punto, se sitúa fuera de lo permitido por la norma de

Derecho de la Unión.

VIGESIMOSEXTA. - El artículo 9 APLO que regula la licitud del tratamiento

debe explicitar, en aras de la seguridad jurídica, el requisito de la previa

habilitación legal, en línea con lo previsto en el artículo 8 de la Directiva, y

por exigencia del principio de reserva de ley del artículo 53.1 de la

Constitución.

VIGESIMOSÉPTIMA. - El artículo 11 APLO “[t]ratamiento de categorías

especiales de datos personales” supone una vulneración del principio de

reserva de ley al no recoger de forma precisa los conceptos y parámetros que

legitiman el tratamiento de categorías especiales de datos personales, los

conocidos como datos especialmente sensibles, limitándose a reproducir los

conceptos abiertos recogidos en el artículo 10 de la Directiva. Esta necesidad

de concreción se manifiesta, igualmente en relación con los tipos infractores

recogidos en los apartados f) y l) del artículo 50 del texto proyectado en tanto

remiten, respectivamente, a “las circunstancias” y “casos” previstos en el

artículo 11. A ello ha de añadirse, por lo que respecta a la redacción del

precepto proyectado, la necesidad de adecuar la misma a fin de no mermar

o restringir ni apartarse de las exigencias establecidas en el artículo 10 de la

Directiva.

VIGESIMOCTAVA. - Resulta llamativo que el artículo 11.1 letra c) APLO

haga referencia a “datos que el interesado haya hecho manifiestamente

públicos” sin introducir el Anteproyecto definición alguna al respecto ni pautas

regulatorias, no obstante existir abundante Jurisprudencia al respecto, que

ha pretendido colmar las lagunas normativas existentes.

VIGESIMONOVENA.- En relación con el tratamiento de los datos de

personas menores de edad se sugiere cohonestar la redacción del artículo

11.2, único del texto proyectado referido a los mismos, con el contenido de

la MAIN (páginas 18 y 40), teniendo en cuenta lo dispuesto en el

Considerando 97 de la Directiva y su expresa remisión a “[…] las normas

relativas a la lucha contra los abusos sexuales, la explotación sexual de los

menores, y la pornografía infantil, tal como se establecen en la Directiva

2011/93/UE del Parlamento Europeo y del Consejo”, entre las que se

encuentra la posibilidad de establecer registros de delincuentes sexuales cuyo

acceso “[…] debe estar sujeto a limitaciones con arreglo a los principios


Secretaría General


constitucionales nacionales y las normas aplicables en materia de protección

de datos, por ejemplo permitiendo el acceso solamente a las autoridades

judiciales o a los cuerpos y fuerzas de seguridad”, (Considerando 43 de la

Directiva 2011/93/UE).

A tal efecto, entendiéndose como cuestión directamente vinculada al texto

proyectado, ha de recordarse la conclusión formulada por éste órgano

constitucional en el Informe aprobado por el Pleno del día 30 de mayo de

2019, sobre el Anteproyecto de Ley Orgánica de protección integral a la

infancia y la adolescencia frente a la violencia, en el que se puso de manifiesto

que “atendido el carácter imperativo de la obligación impuesta por el artículo

37 del Convenio de Lanzarote, no sometida a limitación o condición alguna,

se sugiere valorar la conveniencia de modificar su regulación actual, incluso

a través de su configuración como pena privativa de derechos (art. 39 CP), a

fin de garantizar el cumplimiento de la obligación de almacenar los datos

relativos a la identidad y perfil genético (ADN) de las personas condenadas

por cualquiera de los delitos tipificados con arreglo al Convenio de Lanzarote,

como exige el citado Tratado Internacional, ratificado por España”.

TRIGÉSIMA. - Por lo que respecta a los datos genéticos, definidos en los

mismos términos en los artículos 4,13) del Reglamento y 3,12) de la

Directiva, se sugiere valorar la conveniencia de adaptar la Ley Orgánica

10/2007, de 8 de octubre, reguladora de la base de datos policial sobre

identificadores obtenidos a partir del ADN, que no ha sufrido modificación

alguna, a las nuevas previsiones de la normativa de protección de datos.

TRIGESIMOPRIMERA.- A través del artículo 12.1 del texto proyectado,

con la exigencia relativa a que “[l]a norma habilitante del tratamiento deberá

establecer las medidas adecuadas para salvaguardar los derechos y

libertades del interesado”, que se limita a transcribir de forma literal lo

dispuesto al respecto en el artículo 11.1 de la Directiva, una vez más, el

prelegislador incorpora parámetros genéricos carentes de la necesaria

concreción en orden a dar cumplimiento al principio de reserva de ley

establecido en el artículo 81 de la Constitución, sin que obste a esta

observación lo dispuesto en el artículo 30.2 del Anteproyecto.

Esta falta de concreción y determinación de las medidas adecuadas para

salvaguardar los derechos y libertades del interesado, a su vez, ha de ponerse

en conexión con el artículo 50,n) del Anteproyecto que tipifica como infracción

muy grave “[l]La adopción de decisiones individuales automatizadas sin las

garantías señaladas en el artículo 12”, sin que el artículo 12 determine


Secretaría General


debidamente cuales son éstas garantías, lo cual resulta contrario a la

necesaria certeza que demanda el Derecho administrativo sancionador.

A ello debe añadirse que tampoco el artículo 12.1 del texto proyectado

transpone adecuadamente las exigencias establecidas en el apartado 1 del

artículo 11 de la Directiva al omitir la exigencia de que la revisión humana ha

de llevarse a efecto “por parte del responsable del tratamiento”.

TRIGESIMOSEGUNDA.- Ante los límites ligados a la opacidad de los

algoritmos y en ausencia de normas específicas que regulen o prevean

garantías concretas podría resultar conveniente abordar la regulación del

proceso de elaboración de estos algoritmos, incluso su necesidad de

homologación o registro, a fin de evitar la utilización de aquellos que

contengan sesgos discriminatorios y dar cumplimiento efectivo al mandato

recogido en el artículo 11.3 de la Directiva y 12.2 del Anteproyecto que

prohíbe la elaboración de perfiles que dé lugar a una discriminación de las

personas físicas basándose en las categorías especiales de datos antes

mencionadas. Adicionalmente, la norma nacional de transposición debería dar

un paso más en la protección frente a la discriminación derivada de

mecanismos de decisión individual automatizados y prohibir por este tipo de

mecanismos el tratamiento de categorías especiales de datos.

TRIGESIMOTERCERA. - De acuerdo con lo establecido en el artículo 12.2

APLO, la mera existencia de sospechas fundadas de que un algoritmo toma

decisiones sesgadas debería determinar, de forma automática, el cese de su

utilización por parte de las autoridades competentes.

TRIGESIMOCUARTA.- Ante las herramientas informáticas hoy disponibles y

las posibilidades que ofrece el tratamiento automatizado de datos, resultaría

sumamente conveniente abordar la regulación de la utilización por parte de

las fuerzas y cuerpos de seguridad de la información obtenida de fuentes

abiertas, conocida por el acrónimo anglosajón OSINT, Open Source

Intelligence, atendiendo a un fin constitucionalmente legítimo, como es el

interés público propio de la investigación de los delitos y el descubrimiento

de los delincuentes, lo que constituye un bien digno de protección

constitucional, a través del cual se defienden otros como la paz social y la

seguridad ciudadana, bienes igualmente reconocidos en los artículos 10.1 y

104.1 de la Constitución.

TRIGESIMOQUINTA.- El artículo 18.1 del Anteproyecto se aparta de la

exigencia recogida en el artículo 17.1 de la Directiva, apreciándose una falta


Secretaría General


de correspondencia entre los supuestos a los que se refieren los artículos 15.3

y 16.1, citados en este precepto, y los previstos en los artículos 13.3, 15.3 y

16.4 de la Directiva, en los que se ha de disponer que los derechos del

interesado también puedan ejercerse a través de la autoridad de control

competente, como supuesto de ejercicio indirecto de derechos fundamentales

y evidente garantía adicional de control en supuestos en los que se limita o

restringe la información que debe ponerse a disposición del interesado o que

se le debe proporcionar, el derecho de acceso o el tratamiento del derecho

de rectificación o supresión de datos personales.

TRIGESIMOSEXTA.- Ha de clarificarse la redacción recogida en el artículo

18.2 del Anteproyecto sobre el “derecho a interponer recurso contencioso-

administrativo” a fin de concretar en el texto proyectado, debidamente, el

acto contra el que cabría el citado recurso, resultando importante poner en

conexión las funciones atribuidas a las autoridades de protección de datos y

la competencia de la Jurisdicción Contencioso-administrativa para conocer de

la impugnación de los actos procedentes de las mismas, toda vez que su

independencia, a que se refiere el artículo 8.3 CDFUE, no debe significar que

dichas autoridades puedan quedar exentas de control judicial, resultando, por

ello, sumamente conveniente que el Anteproyecto incorporase previsiones

específicas sobre el régimen de impugnación de los actos de las autoridades

de protección de datos.

TRIGESIMOSÉPTIMA. - El artículo 19.1, prevé que «El ejercicio de los

derechos de información, acceso, rectificación y supresión a los que se hace

referencia en los artículos anteriores se llevará a cabo de conformidad con

las normas procesales penales cuando los datos personales figuren en una

resolución judicial, o en un registro, diligencias o expedientes tramitados en

el curso de investigaciones y procesos penales». No resulta fácilmente

identificables los supuestos de aplicación de esta regla, diferenciados y

distinguibles de los casos de tratamientos con fines jurisdiccionales, tal y

como se definen en al artículo 236 ter.1 LOPJ, esto es, datos que se

encuentren incorporados a los procesos de que conozcan juzgados y

tribunales y su finalidad se relacione directamente con el ejercicio de la

potestad jurisdiccional. Un supuesto posible de aplicación sería el del ejercicio

de acceso a una resolución judicial dictada en un proceso penal concluido y

archivado. En este caso, la remisión a las «normas procesales penales»

prevista en el artículo 19.1 APLO resultaría equívoca, pues el acceso a las

resoluciones judiciales en procesos conclusos está regulado, con carácter

general, en los artículos 235, 235 bis y 266 LOPJ, desarrollados en los


Secretaría General


artículos 4 y 5 del Reglamento 1/2005, de los aspectos accesorios de las

actuaciones judiciales, aprobado por Acuerdo de 15 de septiembre de 2005,

del Pleno del Consejo General del Poder Judicial. Por ello, se considera más

acertado que la remisión se realice a las «normas procesales».

TRIGESIMOCTAVA. - El artículo 19.2 dispone que «Cuando los datos sean

objeto de un tratamiento con fines jurisdiccionales del que sea responsable

un órgano del orden jurisdiccional penal, el ejercicio de los derechos de

información, acceso, rectificación y supresión se realizará de conformidad con

lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas

procesales». La norma proyectada es plenamente coherente con lo previsto

en el artículo 236 octies.1 LOPJ y encuentra habilitación en el artículo 18 de

la Directiva.

TRIGESIMONOVENA. - El artículo 20 regula con carácter general las

obligaciones del responsable del tratamiento y tiene, entre sus destinarios, a

los órganos jurisdiccionales y las oficinas judiciales del orden penal que, de

acuerdo con el artículo 236 sexies LOPJ, son los responsables del tratamiento

de datos con fines jurisdiccionales. Esta es la única norma del articulado del

APLO que, fuera de los artículos 2.5 y 19.2, tiene como destinatarios a los

órganos jurisdiccionales. Habida cuenta de que el APLO parte de que la Ley

Orgánica proyectada sólo será aplicable con carácter subsidiario a los órganos

jurisdiccionales en el ámbito de aplicación del capítulo III de la Directiva, no

resulta coherente con este planteamiento que el artículo 20 contenga

obligaciones para juzgados y tribunales como responsables del tratamiento.

En este sentido, parece oportuno que la obligación de aplicar las medidas


lleve a cabo de acuerdo con lo previsto en la LOPJ y las normas procesales se

introduzca directamente en el lugar que resulta apropiado, esto es, el artículo

236 sexies LOPJ.

CUADRAGÉSIMA. - La referencia genérica a la adopción de las “medidas

técnicas y organizativas” que resulten apropiadas, que se recoge en el

artículo 20 APLO así como en el apartado IV de la Exposición de Motivos, y

en los artículos 21, 23, 25, 30, 50, 51, 52, no está dotada de la mínima

previsión legal a fin de que no derivar, exclusivamente, en el aplicador de la

norma lo que debe entenderse por tal concepto. A esta falta de concreción

ha de añadirse que los artículos 50.g), 51.g) y j) y 52.a) del Anteproyecto

tipifican diferentes infracciones relacionadas con la falta de adopción o

incumplimiento de las medidas técnicas y organizativas exigibles, lo cual


Secretaría General


resulta contrario a las exigencias de certeza exigidas por el Derecho

administrativo sancionador.

CUADRAGESIMOPRIMERA.- El artículo 20 APLO, que a pesar de su

rúbrica no parece detallar o delimitar en su contenido, más allá de la

necesidad de adoptar las medidas técnicas y organizativas apropiadas, cuáles

son las obligaciones del responsable del tratamiento, no incorpora a nuestro

Derecho interno la previsión establecida en el artículo 19.1 de la Directiva

con la amplitud exigida por la norma que se transpone toda vez que ésta

exige al responsable del tratamiento “estar en condiciones de demostrar” y

no exclusivamente “garantizar”.

CUADRAGESIMOSEGUNDA. - El artículo 26 del APLO regula el registro

de operaciones como una de las medidas de seguridad que debe adoptarse

en relación con los tratamientos objeto de la Directiva. El apartado 2 de este

precepto incorpora la previsión del artículo 25.2 de la Directiva en unos

términos que la hacen irreconocible. La redacción del apartado 2 del artículo

26 debe acomodarse más fielmente a lo establecido en la Directiva.

CUADRAGESIMOTERCERA.- El artículo 31.1 del Anteproyecto al

excepcionar de la obligación de notificar, por parte del responsable del

tratamiento a la autoridad de protección de datos, cualquier violación de la

seguridad de los datos personales, los casos en que “sea improbable que la

violación de la seguridad de los datos personales constituya un peligro para

los derechos y las libertades de las personas físicas”, viene a recoger, una

vez más, una mera reproducción literal de lo dispuesto en la Directiva,

(artículo 30.1), incorporando al Derecho interno una referencia carente de la

necesaria concreción y determinación para su correcta aplicación.

CUADRAGESIMOCUARTA.- Esta misma observación resulta trasladable al

artículo 32.1 del texto proyectado en tanto deja en manos del responsable

del tratamiento la valoración de cuándo una violación de la seguridad de los

datos personales supone “un alto riesgo para los derechos y libertades de las

personas físicas”, sin ofrecer la norma legal al aplicador de la norma las

pautas necesarias para dotar de contenido a esta circunstancia, tipificando,

además, el Anteproyecto, en los artículos 50.p) y 52.n) y o) infracciones

relacionadas con el incumplimiento de las referidas notificaciones, careciendo

del grado de certeza exigible en la tipificación legal de las mismas.

CUADRAGESIMOQUINTA. - Como mejoras de técnica legislativa, en la letra

c) del apartado 3 del artículo 32 APLO, se sugiere acotar o delimitar la


Secretaría General


referencia a la “publicación en el boletín oficial correspondiente” y en el

apartado 5 del artículo 32 APLO podría resultar conveniente remitir al

“apartado 1” del artículo 17, de manera análoga, asimismo, a la forma en

que se efectúa la remisión en el artículo 31.5 de la Directiva.

CUADRAGESIMOSEXTA.- El Capítulo VI del Anteproyecto se dedica a

las “[a]utoridades de protección de datos” que constituyen la necesaria

garantía de control institucional del derecho, debiendo llamar la atención

sobre la cierta confusión derivada de la utilización en el Anteproyecto de ésta

denominación junto a la de “autoridad de control” (artículos 2.7.e), 3, 38.2 y

3, 42.1.i), que es la utilizada en el Reglamento y en la Directiva, sugiriendo

al prelegislador la utilización de la denominación recogida en la norma que se

transpone.

CUADRAGESIMOSÉPTIMA. - El artículo 41 del APLO regula las

autoridades de control. No se entiende bien el sentido de este precepto, ya

que, por un lado, contiene previsiones innecesarias sobre lo que ya establece

la LOPDGDD, sin aportar nada nuevo, y, por otra, omite la más importante,

a los efectos de su regulación, como es la mención al Consejo General del

Poder Judicial como autoridad de control sobre los tratamientos para fines

jurisdiccionales. A juicio de este Consejo, este artículo o bien debe suprimirse

o, si se mantuviera debería limitarse a decir que son autoridades de control

las previstas en la LOPDGDD y en la LOPJ. A ello podría añadir que este

también, es el competente para garantizar el derecho fundamental sobre los

tratamientos para fines jurisdiccionales del Ministerio Fiscal o, en su caso,

aludir al órgano específico que se cree al efecto.

CUADRAGESIMOCTAVA.- Resultando legítimo el modelo de control

institucional por el que opta el Anteproyecto, debe tenerse en cuenta que

como resultado del texto proyectado, el ámbito competencial o de actuación

de las autoridades de control se va a ver notablemente ampliado, en un

ámbito muy específico, viniendo a la par acompañado de la habilitación para

el ejercicio indirecto de derechos fundamentales, junto con unos poderes o

potestades de gran amplitud lo que exige, en nuestro parecer, que el marco

legal proyectado incorpore las debidas cautelas, entre las que han de destacar

la necesaria especialización y el reforzamiento del deber de secreto

profesional. Por ello, resultaría sumamente conveniente la incorporación al

texto proyectado de la necesidad de que las autoridades de protección de

datos cuenten con unidades específicas para el ejercicio de las competencias

y funciones derivadas de la Directiva, dotadas de suficientes garantías para

proteger los derechos y las libertades fundamentales de las personas físicas.


Secretaría General


CUADRAGESIMONOVENA.- A fin de dar cumplimiento al mandato recogido

en el artículo 44.2 de la Directiva, teniendo en cuenta la especialidad de la

materia objeto de la actividad de supervisión, la habilitación para el ejercicio

indirecto de derechos fundamentales y la potestad de investigación que se

atribuye a las autoridades de control, que incluye, como dispone el artículo

43,a) APLO “el acceso a todos los datos que estén siendo tratados por el

responsable o encargado del tratamiento”, han de incorporarse al texto

proyectado, con carácter general, las necesarias previsiones en relación con

el deber de secreto profesional y, en particular, con la información que

faciliten las personas físicas sobre infracciones de la regulación recogida en

el texto proyectado, lo que ha de ponerse en conexión con la Directiva (UE)

2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,

relativa a la protección de las personas que informen sobre infracciones del

Derecho de la Unión y la jurisprudencia del Tribunal de Justicia, cuyo plazo

de transposición finaliza el 17 de diciembre de 2021. Además de la necesaria

regulación específica de este deber, resultaría sumamente conveniente la

incorporación al Anteproyecto de sanciones disciplinarias específicas que

refuercen, frente al ciudadano, el deber de sigilo que pesa sobre quienes

tengan conocimiento por razón de su cargo de los datos a que se refiere el


posible, la efectividad del deber de secreto profesional.

QUINCUAGÉSIMA. - El artículo 46 del APLO regula el derecho a

indemnización por entes del sector público. En su apartado 3 se remite al

régimen de responsabilidad patrimonial de la Administración de Justicia

previsto en los artículos 292 y siguientes de la LOPJ, donde se regula el

derecho de indemnización por funcionamiento anormal de la Administración

de Justicia y por error judicial. El centro de imputación del daño o lesión

derivado del incumplimiento de lo dispuesto en la ley orgánica se sitúa en

«los ficheros de una autoridad pública judicial». Por un lado, la referencia a

ficheros debería sustituirse por la de tratamientos, por ser el término

omnicomprensivo empleado en la normativa de protección de datos. Por otro

lado, el concepto de autoridad pública judicial resulta excesivamente genérico

en la medida en que parece incluir todos los supuestos de tratamientos

efectuados por el Ministerio Fiscal que entren en el ámbito de aplicación de

la Directiva. Por ello, a los efectos de que el enunciado del artículo 46.3 del

APLO se ajuste lo más posible al presupuesto aplicativo del régimen de

responsabilidad patrimonial previsto en la LOPJ se propone sustituir «ficheros

de una autoridad pública judicial» por «tratamientos en el ámbito de la

Administración de Justicia». En línea con lo señalado anteriormente, la


Secretaría General


referencia a «ficheros de una autoridad pública administrativa» debería

sustituirse por «tratamientos llevados a cabo por una autoridad pública

administrativa».

QUINCUAGESIMOPRIMERA. - Se estima necesario revisar los tipos

infractores recogidos en los artículos 50, 51 y 52 del Anteproyecto en

tanto se observa su configuración utilizando conceptos jurídicos

indeterminados como “las medidas de seguridad adecuadas”, “medidas

técnicas y organizativas que resulten apropiadas”, “grave perjuicio para los

derechos y libertades de los interesados” que resultan contrarios a la

taxatividad y certeza que demanda el Derecho sancionador.

QUINCAGÉSIMOSEGUNDA.- En particular, deben ser objeto de revisión, al

no ajustarse a los parámetros que demanda el Derecho sancionador, los

siguientes tipos infractores recogidos en el Anteproyecto: el artículo 50.a)

que tipifica “[e]l tratamiento de datos personales que vulneren gravemente

los principios y garantías establecidos en el artículo 4”, por cuanto el artículo

4 únicamente trata de principios y no de garantías; el artículo 50.k) del

Anteproyecto que tipifica como infracción muy grave “[l]a vulneración del

deber de confidencialidad establecido en el artículo 23”, sin que el artículo 23

establezca deber de confidencialidad alguno; el artículo 50.n) que tipifica

como infracción muy grave “[l]La adopción de decisiones individuales


artículo 12 determine debidamente cuales son éstas garantías; el artículo

50.f) y g) que parecen querer sancionar el mismo tipo infractor; los

artículos 50.g), 51.g) y j) y 52.a) que tipifican diferentes infracciones


técnicas y organizativas exigibles; los artículos 50.p) y 52.n) y o) que

tipifican infracciones relacionadas con el incumplimiento de las notificaciones

a que se refiere el artículo 32.1 que deja en manos del responsable del

tratamiento la valoración de cuándo una violación de la seguridad de los datos

personales supone “un alto riesgo para los derechos y libertades de las

personas físicas”; los artículos 51.a) y 52.c) que tipifican como infracción

grave y leve, respectivamente, “[e]l incumplimiento de los plazos de

conservación exigibles en virtud del artículo 6”, en tanto el artículo 6 no

determina dichos plazos; el artículo 51.p) que se refiere de manera

cumulativa -y no alternativa- a las acciones de “acceso, cesión, alteración y

divulgación de los datos” y el artículo 52.a) al tipificar la infracción en base

al concepto jurídico indeterminado de “debida diligencia”.


Secretaría General


QUINCUAGESIMOTERCERA. - Se sugiere modificar la redacción del

artículo 53 del Anteproyecto, “[s]anciones”, declarando que en caso de

que el sujeto responsable sea algunos de los enumerados en el artículo 77.1

de la Ley Orgánica 3/2018, de 5 de diciembre será de aplicación lo dispuesto

en dicho precepto, debiendo aclarar y concretar debidamente el significado

del adverbio “además” incorporado al apartado 2 del precepto proyectado.

QUINCUAGESIMOCUARTA. - En el párrafo cuarto del apartado 1 del

artículo 54 APLO resultaría conveniente determinar, con la debida

concreción, el órgano administrativo al que se hace mención.

QUINCUAGESIMOQUINTA.- De conformidad con la Resolución de 28 de

julio de 2005, de la Subsecretaría del Ministerio de la Presidencia por la que

se da publicidad al Acuerdo del Consejo de Ministros, de 22 de julio de 2005,

por el que se aprueban las Directrices de técnica normativa, se sugiere

valorar la conveniencia de la incorporación al articulado de la disposición

adicional segunda, (por ejemplo en el propio artículo 5 o tras el mismo),

delimitando correctamente la referencia a “estas autoridades”, que parece

aludir a las autoridades competentes definidas en el artículo 2.3 del

Anteproyecto, así como la posibilidad de utilización de los datos obtenidos

para “la comunicación de estas autoridades con los interesados residentes en

los respectivos territorios, respecto a las relaciones jurídico-administrativas

derivadas de las competencias respectivas”, así como incorporar a la MAIN

referencia y explicación sobre el contenido de la misma.

QUINCUAGESIMOSEXTA. - En virtud del criterio estricto asumido por la

doctrina constitucional en la acotación del ámbito de la reserva de ley

orgánica si bien a través de la disposición final primera que tiene, a su

vez, rango orgánico, se atribuye carácter orgánico a la mayor parte del

articulado, se considera necesario ampliar la justificación recogida al respecto

en la MAIN (página 15).

QUINCUAGESIMOSÉPTIMA. - La disposición final tercera introduce un

nuevo apartado tercero en el artículo 236 octies con la siguiente redacción:

«3. Contra la denegación de las solicitudes de ejercicio de los derechos de

acceso, rectificación, limitación y supresión en relación con los datos tratados

con fines jurisdiccionales se podrá interponer directamente recurso

contencioso-administrativo ante el órgano jurisdiccional competente de

acuerdo con lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la


Secretaría General


Jurisdicción Contencioso-administrativa». La modificación propuesta no

merece una valoración positiva y debería suprimirse

QUINCUAGESIMOCTAVA. - Desde el plano estrictamente formal, adolece

de notables deficiencias técnicas. Se prevé un remedio judicial frente a

actuaciones de juzgados y tribunales de cualquier orden jurisdiccional cuyo

conocimiento se atribuye a la jurisdicción contencioso-administrativa, que

constituye un evidente novum respecto del ámbito de la jurisdicción

contencioso-administrativa delimitado en el artículo 1 de la LJCA. Para ser

eficaz la pretensión del prelegislador debería ir acompañada de: a) la

inclusión de la denegación de las solicitudes de ejercicio de los derechos de

acceso, rectificación, limitación y supresión en relación con los datos tratados

con fines jurisdiccionales en el apartado 3 del artículo 1 de la LJCA; b) la

identificación del acto susceptible de recurso; c) la determinación del o los

órganos competentes dentro del orden contencioso-administrativo, que, por

razones derivadas del principio de reserva de ley orgánica cualificada, debería

tener el correspondiente reflejo en la LOPJ; d) la regulación de las evidentes

especialidades de un procedimiento contencioso-administrativo dirigido

frente a una actuación de un órgano jurisdiccional. Nada de esto contiene el

Anteproyecto, por lo que cabe considerar que la modificación de la LOPJ en

punto a introducir un procedimiento judicial de tutela del derecho

fundamental a la protección de datos respecto de los tratamientos con fines

jurisdiccionales no ha sido suficientemente meditada.

QUINCUAGESIMONOVENA. - Un análisis de fondo del texto proyectado

revela las relevantes razones que abogan por la no adopción de la propuesta.

El artículo 236 octies.1 LOPJ establece que el ejercicio de los derechos de

acceso, rectificación, cancelación (rectius, supresión) y oposición (rectius,

limitación) respecto de los datos tratados con fines jurisdiccionales se

tramitarán conforme a las normas que resulten de aplicación al proceso en

que los datos fueron recabados, no siendo de aplicación las disposiciones

establecidas al efecto por la legislación vigente en materia de protección de

datos de carácter personal. De lo que se deduce que la norma parámetro que

deberá emplear el órgano de la jurisdicción contencioso-administrativa para

el control de la denegación de la solicitud del ejercicio del derecho se contiene

en las leyes procesales aplicables en los distintos órdenes jurisdiccionales, lo

cual dista mucho de la especialización del orden contencioso-administrativo

(art. 9.4 LOPJ). En el ámbito del tratamiento de datos con fines

jurisdiccionales el derecho a obtener una resolución judicial fundada en

Derecho que se pronuncie sobre la eventual lesión del derecho a la protección


Secretaría General


de datos imputable a un órgano jurisdiccional debe satisfacerse dentro del

propio orden jurisdiccional, de acuerdo con los medios de impugnación que

prevea la ley procesal aplicable. Es el legislador procesal el que establece los

correspondientes equilibrios entre el derecho a la protección de datos y el

derecho a la tutela judicial y es al juez de la ley procesal al que corresponde

interpretar y aplicar esos equilibrios, atendiendo a las concretas

circunstancias del caso que pueden atribuir un mayor peso a uno u otro

derecho y decantar la decisión judicial.

SEXAGÉSIMA. - La disposición final cuarta del APLO introduce un nuevo

artículo 15 bis en la Ley Orgánica 1/1979, de 26 de septiembre, General

Penitenciaria, en el que se regula el tratamiento de datos de carácter personal

de los reclusos. Tal previsión viene a cubrir una carencia en la Ley

penitenciaria y, en particular, da cobertura al tratamiento de categorías

especiales de datos, regulado en el apartado 2 del nuevo artículo 15 bis. Es

doctrina constitucional asentada que, de acuerdo con el artículo 25.2 CE,

cuando de la limitación de un derecho fundamental de un preso se trata y su

ejercicio no se encuentra restringido expresa o implícitamente en el fallo

condenatorio que condujo a la prisión tal limitación se prevea en la ley

penitenciaria (SSTC 58/1998, de 16 de marzo, FJ 3, y 6/2020, de 27 de

enero, FJ 3). En relación con el tratamiento de categorías especiales de datos,

el precepto legal debería establecer expresamente, que deberán establecerse

garantías adecuadas para preservar los derecho y libertades de los reclusos.

SEXAGÉSIMOPRIMERA.- En la disposición final sexta, que modifica la

rúbrica y el contenido del artículo 69 de la Ley 5/2014, de 4 de abril, de

Seguridad Privada se sugiere la supresión de la referencia a las “disposiciones

de desarrollo” de las Leyes 39/2015 y 40/2015, que recoge el nuevo aparado

1 del artículo 69 pues, como ha destacado el Consejo de Estado en diversos

dictámenes “ninguna de estas leyes tiene desarrollo reglamentario, ni está

previsto que lo tenga en el ámbito sancionador”, habiéndose incorporado a la

Ley 39/2015, de 1 de octubre, las especialidades sobre el procedimiento

sancionador que recogía el Reglamento para el ejercicio de la potestad

sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, que se

encuentra derogado.

SEXAGÉSIMOSEGUNDA.- El último párrafo del apartado I de la

Exposición de Motivos del Anteproyecto en tanto señala que “la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales, adapta el Reglamento UE 2016/679”, y en

términos similares en el párrafo tercero de la página 9 de la MAIN, no resulta


Secretaría General


acorde con el sistema de fuentes de la Unión, toda vez que la legislación

española, en modo alguno, puede adaptar el Reglamento (UE) 2016/679 a

nuestro ordenamiento jurídico, siendo el Ordenamiento jurídico español el

que debe adaptarse al RGPD.

SEXAGÉSIMOTERCERA. - Se sugiere revisar la redacción del párrafo

primero del apartado II de la Exposición de Motivos del APLO en tanto

al afirmar que la Decisión Marco 2008/977/JAI “había sido superada por

varias razones” parece omitir el pronombre relativo “que”.

SEXAGÉSIMOCUARTA.-.- En el párrafo segundo del apartado III de la

Exposición de Motivos se sugiere valorar la conveniencia de citar, junto a

los atentados de Bruselas y Niza de 2016, los atentados de Madrid del 11 de

marzo de 2004 y de Barcelona y Cambrils sufridos en agosto de 2017, en

coherencia con el contenido del Real Decreto 1008/2017, de 1 de diciembre,

por el que se aprueba la Estrategia de Seguridad Nacional 2017 y de la Orden

PCI/179/2019, de 22 de febrero, por la que se publica la Estrategia Nacional

contra el Terrorismo 2019, aprobada por el Consejo de Seguridad Nacional.

SEXAGÉSIMOQUINTA. - En el apartado 5 del artículo 13, el texto

proyectado limita la consideración de solicitud excesiva a aquellas que tengan

carácter repetitivo, a diferencia del artículo 12.4 de la Directiva, por lo que

se sugiere la adecuación de la redacción de dicho apartado a los términos

previstos en el citado precepto de la Directiva.

SEXAGESIMOSEXTA. - Se sugiere la modificación de la redacción del

artículo 15.4 APLO en orden a clarificar y concretar, debidamente, el

concepto de “exceso de coste”.

SEXAGESIMOSÉPTIMA. - Resultaría conveniente adecuar la redacción del

apartado 1 y segundo párrafo del apartado 2 del artículo 17 APLO a fin de

aclarar si basta la concurrencia de uno de los fines enumerados para legitimar

las restricciones a los derechos de información, acceso, rectificación o

supresión de datos personales y a la limitación de su tratamiento, a fin de

que el contenido del artículo resulte claro en orden a su aplicación por los

operadores jurídicos.

SEXAGESIMOCTAVA.- Del contenido del artículo 23.3.b) APLO se

desprende que dicho precepto no establece deber de confidencialidad alguno,

cuya vulneración se tipifica como infracción muy grave en el artículo 50.k)

del Anteproyecto, debiendo insistir en la importancia de contar con una

regulación específica de un deber reforzado de confidencialidad, junto con la


Secretaría General


determinación de sanciones que aseguren el deber de sigilo que pesa sobre

quienes tengan conocimiento por razón de su empleo de los datos a que se

refiere el Anteproyecto, asegurando al máximo, en los límites de lo

jurídicamente posible, la efectividad del deber de confidencialidad.

SEXAGESIMONOVENA. - En el apartado 1 del artículo 30 APLO se valora

positivamente la referencia al cumplimiento de las medidas incluidas en el

Esquema Nacional de Seguridad, creado por el artículo 42 de la Ley 11/2007,

de 22 de junio, de acceso electrónico de los ciudadanos a los servicios

públicos, buscando establecer los principios básicos y requisitos mínimos

requeridos para una protección adecuada de la información.

SEPTUAGÉSIMA. - La redacción del apartado 1 del artículo 38, que se

corresponde con el artículo 37.1 de la Directiva, ha de adecuarse a la

naturaleza y finalidad del texto proyectado, eliminando en consecuencia la

referencia a “los Estados miembros”.

SEPTUAGESIMOPRIMERA. - El Anteproyecto carece de disposición

derogatoria, déficit que debe ser corregido.

SEPTUAGESIMOSEGUNDA. - Las páginas 26 a 30 de la MAIN recogen

una tabla de correspondencia entre los preceptos de la Directiva y su

correspondiente transposición en los artículos del anteproyecto de ley

orgánica, sugiriéndose la revisión de dicha tabla al haberse observado

divergencia con algunos de los preceptos del texto remitido (por ejemplo,

artículo 53 APLO, disposición adicional “única”, etc.).

SEPTUAGESIMOTERCERA. - Se propone la actualización de la regulación

contenida en los artículos 236 bis a 236 decies LOPJ, en el siguiente sentido:

- Debería sustituirse la referencia a la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal por la del RGPD

y la LOPDyDGG, e incluir como normativa de aplicación preferente por

razón de las especialidades que contenga a las leyes procesales. De

este modo, la redacción del artículo 236 bis LOPJ pasaría a tener el

siguiente tenor: «El tratamiento de datos llevado a cabo con ocasión

de la tramitación por los Tribunales de los procesos de los que sean

competentes, así como el realizado dentro de la gestión de la Oficina

judicial se someterán a lo dispuesto en el Reglamento (UE) 2016/679,

la Ley Orgánica 3/2018, de 1 de diciembre, Protección de Datos

Personales y garantía de los derechos digitales y su normativa de


Secretaría General


desarrollo, sin perjuicio de las especialidades establecidas en el

presente Capítulo y en las leyes procesales».

- Con el fin de reflejar el específico marco normativo aplicable a la

jurisdicción penal, debería introducirse un segundo párrafo en el

artículo 236 bis LOPJ coherente con lo previsto en el artículo 2.5 APLO.

En este sentido, su posible tenor podría ser el siguiente: «En el ámbito

de la jurisdicción penal, los tratamientos efectuados con fines de

prevención, investigación, detección o enjuiciamiento de infracciones

penales o de ejecución de sanciones penales se regirán por lo dispuesto

en el presente Capítulo y las leyes procesales y, subsidiariamente, por

lo dispuesto en la Ley Orgánica de protección de datos personales

tratados para fines de prevención, detección, investigación o

enjuiciamiento de infracciones penales y de ejecución de sanciones

penales, así como de protección y prevención frente a las amenazas

contra la seguridad pública».

- Deberían sustituirse las referencias a la Ley Orgánica 15/1999 por la

referencia, más genérica, a la normativa o la legislación en materia de

protección en los artículos 236 quater, párrafo segundo; 236 sexies,

apartado 1; y, 236 nonies, apartado 1.

- El artículo 236 quater, en su primer párrafo, excluye el consentimiento

como base jurídica para el tratamiento de datos con fines

jurisdiccionales «De conformidad con lo dispuesto en el artículo 11.2

de la Ley Orgánica 15/1999, de 13 de diciembre». Resulta necesario

suprimir este inciso del precepto, manteniendo el resto del párrafo.

- En el artículo 236 sexies, apartado 2, in fine, la referencia a la

responsabilidad disciplinaria derivada de la comisión de una infracción

en materia de protección de datos «a la que se refiere el artículo 46.2

de la Ley Orgánica 15/1999, de 13 de diciembre» debe actualizarse

remitiéndose «a la que se refiere el artículo 77.2 de la Ley Orgánica

3/2018, de 1 de diciembre».

- Las referencias que se contienen en los artículos 236 bis a 236 decies

a los «ficheros» deben ser sustituidas por «tratamientos». En este

sentido, deberían sustituirse el término «fichero» o «ficheros» por el

de «tratamiento» o «tratamientos» en los artículos 236 ter, apartado


Secretaría General


2, en sus dos párrafos; artículo 236 sexies, apartado 1, en sus dos

párrafos, y apartado 3; artículo 236 octies, apartado 2.

- El contenido del artículo 236 septies relativo a la creación, modificación

y supresión de ficheros de los tribunales debería ser suprimido, pues

se trata de una regulación que gira en el vacío al haberse derogado el

título IV de la LO 15/1999 del que traía causa. En su lugar, sería muy

conveniente regular en la LOPJ las obligaciones y responsabilidades

que corresponden a las administraciones prestacionales en el ámbito

de la seguridad de los datos personales objeto de tratamiento mediante

los sistemas de gestión procesal y demás programas y aplicaciones al

servicio de la Administración de Justicia.

- Debería también modificarse el artículo 236 decies LOPJ referido a los

tratamientos de datos del Consejo General del Poder Judicial, eliminado

todo lo referente a la creación, modificación y supresión de los ficheros,

por las razones ya expuestas, manteniendo, en todo caso, la

consideración de la Secretaría General de este órgano constitucional

como responsable de los tratamientos realizados en el ejercicio de las

competencias del Consejo.

Es todo cuanto tiene que informar el Consejo General del Poder Judicial.

Lo precedente concuerda bien y fielmente con su original al que me remito,

y para que conste extiendo y firmo la presente en Madrid a 25 de junio de

2020.

Jose Luis de Benito y Benitez de Lugo

Secretario General

certificaciÓn de acuerdo relativo a informe...2020/06/25 · poder judicial, a efectos de la...

Documents